本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon S3 的 Security Hub 控制項
這些 AWS Security Hub 控制項會評估 Amazon Simple Storage Service (Amazon S3) 服務和資源。
這些控制項可能完全無法使用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性。
【S3.1】 S3 一般用途儲存貯體應啟用封鎖公開存取設定
相關要求:CIS AWS 基礎基準 v3.0.0/2.1.4、CIS AWS 基礎基準 v1.4.0/2.1.5、 NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-4(21)、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7(21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)、PCIDSSv3.2.1/1.2.1、PCIDSSv3.2.1/1.3.1、PCIDSSv3.2.1/1.3.2、PCIDSSv3.2.1/1.3.4、PCIDSSv3.2.1/1.3.6、PCIDSSv4.4
類別:保護 > 安全網路組態
嚴重性:中
資源類型: AWS::::Account
AWS Config 規則:s3-account-level-public-access-blocks-periodic
排程類型:定期
參數:
-
ignorePublicAcls:true(不可自訂) -
blockPublicPolicy:true(不可自訂) -
blockPublicAcls:true(不可自訂) -
restrictPublicBuckets:true(不可自訂)
此控制項會檢查上述 Amazon S3 區塊公有存取設定是否在 S3 一般用途儲存貯體的帳戶層級設定。如果一個或多個區塊公有存取設定設定為 ,則控制項會失敗false。
如果任何設定設為 false,或如果任何設定未設定,則控制項會失敗。
Amazon S3 公有存取區塊旨在提供整個 AWS 帳戶 或個別 S3 儲存貯體層級的控制,以確保物件永遠不會擁有公有存取。透過存取控制清單 (ACLs)、儲存貯體政策或兩者,將公開存取授予儲存貯體和物件。
除非您打算讓 S3 儲存貯體可公開存取,否則您應該設定帳戶層級的 Amazon S3 封鎖公開存取功能。
若要進一步了解,請參閱《Amazon Simple Storage Service 使用者指南》中的使用 Amazon S3 Block Public Access。
修補
若要為您的 啟用 Amazon S3 Block Public Access AWS 帳戶,請參閱《Amazon Simple Storage Service 使用者指南》中的為您的帳戶設定區塊公有存取設定。
【S3.2】 S3 一般用途儲存貯體應封鎖公有讀取存取
相關要求:PCIDSSv3.2.1/1.2.1、PCIDSSv3.2.1/1.3.1、PCIDSSv3.2.1/1.3.2、PCIDSSv3.2.1/1.3.6、PCIDSSv3.2.1/7.2.1、 NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7、(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)
類別:保護 > 安全網路組態
嚴重性:嚴重
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-bucket-public-read-prohibited
排程類型:定期觸發和變更
參數:無
此控制項會檢查 Amazon S3 一般用途儲存貯體是否允許公開讀取存取。它評估區塊公有存取設定、儲存貯體政策和儲存貯體存取控制清單 (ACL)。如果儲存貯體允許公有讀取存取,則控制項會失敗。
有些使用案例可能需要網際網路上的每個人都能從您的 S3 儲存貯體讀取。然而,這類情況很少見。為了確保資料的完整性和安全,您的 S3 儲存貯體不應允許公開讀取。
修補
若要封鎖 Amazon S3 儲存貯體上的公有讀取存取,請參閱《Amazon Simple Storage Service 使用者指南》中的設定 S3 儲存貯體的封鎖公有存取設定。
【S3.3】 S3 一般用途儲存貯體應封鎖公有寫入存取
相關要求:PCIDSSv3.2.1/1.2.1、PCIDSSv3.2.1/1.3.1、PCIDSSv3.2.1/1.3.2、PCIDSSv3.2.1/1.3.4、PCIDSSv3.2.1/1.3.6、PCIDSSv3.2.1/7.2.1、 NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)
類別:保護 > 安全網路組態
嚴重性:嚴重
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-bucket-public-write-prohibited
排程類型:定期觸發和變更
參數:無
此控制項會檢查 Amazon S3 一般用途儲存貯體是否允許公有寫入存取。它評估區塊公有存取設定、儲存貯體政策和儲存貯體存取控制清單 (ACL)。如果儲存貯體允許公有寫入存取,則控制項會失敗。
某些使用案例需要網際網路上的每個人都能夠寫入您的 S3 儲存貯體。然而,這類情況很少見。為了確保資料的完整性和安全,您的 S3 儲存貯體不應允許公開寫入。
修補
若要封鎖 Amazon S3 儲存貯體上的公有寫入存取,請參閱《Amazon Simple Storage Service 使用者指南》中的設定 S3 儲存貯體的區塊公有存取設定。
【S3.5】 S3 一般用途儲存貯體應要求 請求才能使用 SSL
相關要求:CIS AWS 基礎基準 v3.0.0/2.1.1、CIS AWS 基礎基準 v1.4.0/2.1.2, NIST.800-53.r5 AC-17(2)、 NIST.800-53.r5 IA-5(1) NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-12(3)、 NIST.800-53.r5 SC-13 NIST.800-53.r5 SC-2, NIST.800-53.r5 SC-23(3)、 NIST.800-53.r5 SC-7(4) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8(1)、 NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)、PCIDSSv3.2.1/4.1、PCIDSSv4.0.1/4.2.1
類別:保護 > 安全存取管理
嚴重性:中
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-bucket-ssl-requests-only
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon S3 一般用途儲存貯體是否有需要請求才能使用 的政策SSL。如果儲存貯體政策不需要使用 的請求,則控制項會失敗SSL。
S3 儲存貯體應具有政策,要求所有請求 (Action: S3:*) 只接受 S3 資源政策HTTPS中的資料傳輸,以條件索引鍵 表示aws:SecureTransport。
修補
若要更新 Amazon S3 儲存貯體政策以拒絕不安全的傳輸,請參閱《Amazon Simple Storage Service 使用者指南》中的使用 Amazon S3 主控台新增儲存貯體政策。
新增類似於下列政策的政策陳述式。amzn-s3-demo-bucket 將 取代為您修改的儲存貯體名稱。
{ "Id": "ExamplePolicy", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSSLRequestsOnly", "Action": "s3:*", "Effect": "Deny", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } }, "Principal": "*" } ] }
如需詳細資訊,請參閱AWS 官方知識中心中的我應該使用哪些 S3 儲存貯體政策來遵守 AWS Config 規則 s3-bucket-ssl-requests-only?
【S3.6】 S3 一般用途儲存貯體政策應限制對其他 的存取 AWS 帳戶
相關要求: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
類別:保護 > 安全存取管理 > 敏感API操作動作受限
嚴重性:高
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-bucket-blacklisted-actions-prohibited
排程類型:已觸發變更
參數:
-
blacklistedactionpatterns:s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl(不可自訂)
此控制項會檢查 Amazon S3 一般用途儲存貯體政策是否阻止其他 AWS 帳戶 主體對 S3 儲存貯體中的資源執行拒絕的動作。如果儲存貯體政策允許另一個主體採取上述一個或多個動作,則控制項會失敗 AWS 帳戶。
實作最低權限存取對於降低安全風險以及錯誤或惡意意圖的影響至關重要。如果 S3 儲存貯體政策允許從外部帳戶存取,可能會導致內部威脅或攻擊者的資料外傳。
blacklistedactionpatterns 參數允許成功評估 S3 儲存貯體的規則。參數會授予外部帳戶的存取權,以取得清單中未包含的動作模式blacklistedactionpatterns。
修補
若要更新 Amazon S3 儲存貯體政策以移除許可,請參閱《Amazon Simple Storage Service 使用者指南》中的使用 Amazon S3 主控台新增儲存貯體政策。
在編輯儲存貯體政策頁面上的政策編輯文字方塊中,採取下列其中一個動作:
-
移除授予其他拒絕動作 AWS 帳戶 存取權的陳述式。
-
從陳述式中移除允許的拒絕動作。
【S3.7】 S3 一般用途儲存貯體應使用跨區域複寫
相關要求:PCIDSSv3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-36(2)、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
類別:保護 > 安全存取管理
嚴重性:低
資源類型: AWS::S3::Bucket
AWS Config 規則: s3-bucket-cross-region-replication-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon S3 一般用途儲存貯體是否已啟用跨區域複寫。如果儲存貯體未啟用跨區域複寫,則控制項會失敗。
複寫是自動、非同步地複製相同或不同儲存貯體中的物件 AWS 區域。複寫會將新建立的物件和物件更新從來源儲存貯體複製到目的地儲存貯體或儲存貯體。 AWS 最佳實務建議對相同儲存貯體擁有的來源和目的地儲存貯體進行複寫 AWS 帳戶。除了可用性之外,建議您考慮其他系統強化設定。
如果複寫目的地儲存貯體未啟用跨區域複寫,則此控制項會產生其FAILED調查結果。如果目的地儲存貯體不需要啟用跨區域複寫的合法原因,您可以隱藏此儲存貯體的調查結果。
修補
若要在 S3 儲存貯體上啟用跨區域複寫,請參閱《Amazon Simple Storage Service 使用者指南》中的為相同帳戶擁有的來源和目的地儲存貯體設定複寫。針對來源儲存貯體,選擇套用至儲存貯體中的所有物件。
【S3.8】 S3 一般用途儲存貯體應封鎖公開存取
相關要求:CIS AWS 基礎基準 3.0.0/2.1.4 版、CIS AWS 基礎基準 1.4.0/2.1.5、 NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)、4.0.1/1.4.4 PCIDSS版
類別:保護 > 安全存取控制 > 存取控制
嚴重性:高
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-bucket-level-public-access-prohibited
排程類型:已觸發變更
參數:
-
excludedPublicBuckets(不可自訂) – 以逗號分隔的已知允許公有 S3 儲存貯體名稱清單
此控制項會檢查 Amazon S3 一般用途儲存貯體是否封鎖儲存貯體層級的公開存取。如果下列任一設定設定為 ,則控制項會失敗false:
-
ignorePublicAcls -
blockPublicPolicy -
blockPublicAcls -
restrictPublicBuckets
S3 儲存貯體層級的封鎖公開存取提供控制項,以確保物件永遠無法存取。透過存取控制清單 (ACLs)、儲存貯體政策或兩者,將公有存取權授予儲存貯體和物件。
除非您打算讓 S3 儲存貯體公開存取,否則您應該設定儲存貯體層級的 Amazon S3 Block Public Access 功能。
修補
如需如何在儲存貯體層級移除公有存取權的詳細資訊,請參閱《Amazon S3 使用者指南》中的封鎖對 Amazon S3 儲存體的公有存取權。 Amazon S3
【S3.9】 S3 一般用途儲存貯體應啟用伺服器存取記錄
相關要求: NIST.800-53.r5 AC-2(4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCIDSSv4.0.1/10.2.1
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-bucket-logging-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查是否針對 Amazon S3 一般用途儲存貯體啟用伺服器存取記錄。如果未啟用伺服器存取記錄,則控制項會失敗。啟用記錄功能時,Amazon S3 會將來源儲存貯體的存取日誌交付至所選的目標儲存貯體。目標儲存貯體必須與來源儲存貯體位於相同的 AWS 區域 中,且不得設定預設保留期。目標記錄儲存貯體不需要啟用伺服器存取記錄,而且您應該隱藏此儲存貯體的調查結果。
伺服器存取記錄提供對儲存貯體提出請求的詳細記錄。伺服器存取日誌可協助安全和存取稽核。如需詳細資訊,請參閱 Amazon S3 的安全最佳實務:啟用 Amazon S3 伺服器存取記錄。
修補
若要啟用 Amazon S3 伺服器存取記錄,請參閱《Amazon S3 使用者指南》中的啟用 Amazon S3 伺服器存取記錄。 Amazon S3
【S3.10】 已啟用版本控制的 S3 一般用途儲存貯體應該具有生命週期組態
相關要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-version-lifecycle-policy-check
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon S3 一般用途版本控制的儲存貯體是否具有生命週期組態。如果儲存貯體沒有生命週期組態,則控制項會失敗。
我們建議您為 S3 儲存貯體建立生命週期組態,以協助您定義您希望 Amazon S3 在物件生命週期內採取的動作。
修補
如需在 Amazon S3 儲存貯體上設定生命週期的詳細資訊,請參閱在儲存貯體上設定生命週期組態和管理儲存生命週期。
【S3.11】 S3 一般用途儲存貯體應啟用事件通知
相關要求: NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(4)
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-event-notifications-enabled
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
偏好的 S3 事件類型清單 |
EnumList (最多 28 個項目) |
|
無預設值 |
此控制項會檢查 Amazon S3 一般用途儲存貯體是否已啟用 S3 事件通知。 Amazon S3 如果儲存貯體上未啟用 S3 事件通知,則控制項會失敗。如果您為 eventTypes 參數提供自訂值,則只有在為指定類型的事件啟用事件通知時,控制項才會傳遞。
當您啟用 S3 事件通知時,您會在發生影響 S3 儲存貯體的特定事件時收到提醒。例如,您可以收到物件建立、物件移除和物件還原的通知。這些通知可以提醒相關團隊,可能導致未經授權的資料存取的意外或故意修改。
修補
如需有關偵測 S3 儲存貯體和物件變更的資訊,請參閱《Amazon S3 使用者指南》中的 Amazon S3 事件通知。 Amazon S3
【S3.12】 ACLs 不應用於管理使用者對 S3 一般用途儲存貯體的存取
相關要求: NIST.800-53.r5 AC-2(1) NIST.800-53.r5 AC-3、、 NIST.800-53.r5 AC-3(15)、 NIST.800-53.r5 AC-3(7)、 NIST.800-53.r5 AC-6
類別:保護 > 安全存取控制 > 存取控制
嚴重性:中
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-bucket-acl-prohibited
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon S3 一般用途儲存貯體是否提供具有存取控制清單 () 的使用者許可ACL。如果ACL設定 來管理儲存貯體上的使用者存取權,則控制項會失敗。
ACLs 是早於 的舊版存取控制機制IAM。ACLs我們建議您使用 S3 儲存貯體政策或 AWS Identity and Access Management (IAM) 政策來管理對 S3 儲存貯體的存取。
修補
若要傳遞此控制項,您應該ACLs針對 S3 儲存貯體停用 。如需說明,請參閱《Amazon Simple Storage Service 使用者指南》中的控制物件的擁有權和停用儲存貯ACLs體。
若要建立 S3 儲存貯體政策,請參閱使用 Amazon S3 主控台新增儲存貯體政策。若要在 S3 儲存貯體上建立IAM使用者政策,請參閱使用使用者政策控制對儲存貯體的存取。
【S3.13】 S3 一般用途儲存貯體應具有生命週期組態
相關要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
類別:保護 > 資料保護
嚴重性:低
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-lifecycle-policy-check
排程類型:變更已觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
當物件轉換為指定的儲存類別時,物件建立後的天數 |
Integer |
|
無預設值 |
|
|
刪除物件時,物件建立後的天數 |
Integer |
|
無預設值 |
|
|
目的地 S3 儲存類別類型 |
列舉 |
|
無預設值 |
此控制項會檢查 Amazon S3 一般用途儲存貯體是否具有生命週期組態。如果儲存貯體沒有生命週期組態,則控制項會失敗。如果您為一或多個上述參數提供自訂值,則只有在政策包含指定的儲存類別、刪除時間或轉換時間時,控制項才會傳遞。
為您的 S3 儲存貯體建立生命週期組態,定義您希望 Amazon S3 在物件生命週期內採取的動作。例如,您可以將物件轉換至另一個儲存類別、將其封存,或在指定的一段時間後將其刪除。
修補
如需在 Amazon S3 儲存貯體上設定生命週期政策的資訊,請參閱在儲存貯體上設定生命週期組態,並參閱《Amazon S3 使用者指南》中的管理您的儲存生命週期。
【S3.14】 S3 一般用途儲存貯體應該已啟用版本控制
類別:保護 > 資料保護 > 資料刪除保護
相關要求: NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)
嚴重性:低
資源類型: AWS::S3::Bucket
AWS Config 規則:s3-bucket-versioning-enabled
排程類型:變更已觸發
參數:無
此控制項會檢查 Amazon S3 一般用途儲存貯體是否已啟用版本控制。如果儲存貯體的版本控制已暫停,則控制項會失敗。
版本控制會將物件的多個變體保留在相同的 S3 儲存貯體中。您可以使用版本控制來保留、擷取和還原 S3 儲存貯體中存放的舊版物件。版本控制可協助您從意外的使用者動作和應用程式失敗中復原。
提示
隨著儲存貯體中的物件數量因為版本控制而增加,您可以設定生命週期組態,根據規則自動封存或刪除版本控制的物件。如需詳細資訊,請參閱 Amazon S3 Lifecycle Management for Versioned Objects
修補
若要在 S3 儲存貯體上使用版本控制,請參閱《Amazon S3 使用者指南》中的在儲存貯體上啟用版本控制。
【S3.15】 S3 一般用途儲存貯體應該已啟用物件鎖定
類別:保護 > 資料保護 > 資料刪除保護
相關要求:NIST.800-53.r5 CP-6(2)、PCIDSSv4.0.1/10.5.1
嚴重性:中
資源類型: AWS::S3::Bucket
AWS Config 規則: s3-bucket-default-lock-enabled
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
S3 物件鎖定保留模式 |
列舉 |
|
無預設值 |
此控制項會檢查 Amazon S3 一般用途儲存貯體是否已啟用物件鎖定。如果未針對儲存貯體啟用物件鎖定,則控制項會失敗。如果您為 mode 參數提供自訂值,則只有在 S3 物件鎖定使用指定的保留模式時,控制項才會傳遞。
您可以使用 S3 物件鎖定來存放使用 (WORM) 模型的 write-once-read-many物件。物件鎖定可協助防止在固定的時間長度或無限期內刪除或覆寫 S3 儲存貯體中的物件。您可以使用 S3 物件鎖定來滿足需要WORM儲存的法規要求,或新增額外的保護層來防止物件變更和刪除。
修補
若要為新的和現有的 S3 儲存貯體設定物件鎖定,請參閱《Amazon S3 使用者指南》中的設定 S3 物件鎖定。 Amazon S3
【S3.17】 S3 一般用途儲存貯體應該使用 靜態加密 AWS KMS keys
類別:保護 > 資料保護 > 加密 data-at-rest
相關要求: NIST.800-53.r5 SC-12(2)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1)、 NIST.800-53.r5 SC-7(10)、 NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 SI-7(6)、NIST.800-53.r5 AU-9、PCIDSSv4.0.1/3.5.1
嚴重性:中
資源類型: AWS::S3::Bucket
AWS Config 規則: s3-default-encryption-kms
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon S3 一般用途儲存貯體是否使用 AWS KMS key (SSE-KMS 或 DSSE-) 加密KMS。如果使用預設加密 (SSE-S3) 加密儲存貯體,則控制項會失敗。
伺服器端加密 (SSE) 是接收資料之應用程式或服務在其目的地對資料的加密。除非您另有指定,否則 S3 儲存貯體預設會使用 Amazon S3 受管金鑰 (SSE-S3) 進行伺服器端加密。不過,若要新增控制項,您可以選擇將儲存貯體設定為使用伺服器端加密搭配 AWS KMS keys (SSE-KMS 或 DSSE-KMS)。Amazon S3 在物件層級加密您的資料時,它會將其寫入 AWS 資料中心的磁碟,並在您存取時將其解密。
修補
若要使用 SSE- 加密 S3 儲存貯體KMS,請參閱《Amazon S3 使用者指南》中的使用 AWS KMS (SSE-KMS) 指定伺服器端加密。若要使用 DSSE- 加密 S3 儲存貯體KMS,請參閱《Amazon S3 使用者指南》中的使用 AWS KMS keys (DSSE-KMS) 指定雙層伺服器端加密。
【S3.19】 S3 存取點應該啟用封鎖公開存取設定
相關要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)、4.0.1/1.4.4 PCIDSS版
類別:保護 > 安全存取管理 > 資源不可公開存取
嚴重性:嚴重
資源類型: AWS::S3::AccessPoint
AWS Config 規則: s3-access-point-public-access-blocks
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon S3 存取點是否已啟用封鎖公開存取設定。如果未為存取點啟用封鎖公有存取設定,則控制項會失敗。
Amazon S3 Block Public Access 功能可協助您管理三個層級的 S3 資源存取權:帳戶、儲存貯體和存取點層級。每個層級的設定可以獨立設定,讓您擁有不同層級的資料公有存取限制。存取點設定無法個別覆寫較高層級的更嚴格設定 (指派給存取點的帳戶層級或儲存貯體)。相反地,存取點層級的設定是累加的,這表示它們與其他層級的設定互補和搭配運作。除非您想要公開存取 S3 存取點,否則您應該啟用封鎖公開存取設定。
修補
Amazon S3 目前不支援在建立存取點後變更存取點的封鎖公開存取權限設定。建立新存取點時,預設會啟用所有封鎖公有存取設定。建議您啟用所有設定,除非您知道您有特別需要停用任一設定。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的管理存取點的公有存取。
【S3.20】 S3 一般用途儲存貯體應該已啟用MFA刪除
相關要求:CIS AWS 基礎基準 3.0.0/2.1.2 版、CIS AWS 基礎基準 1.4.0/2.1.3 版、 NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)
類別:保護 > 資料保護 > 資料刪除保護
嚴重性:低
資源類型: AWS::S3::Bucket
AWS Config 規則: s3-bucket-mfa-delete-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查是否已在 Amazon S3 一般用途版本控制儲存貯體上啟用多重驗證 (MFA) 刪除。如果儲存貯體上未啟用MFA刪除,則控制項會失敗。控制項不會為具有生命週期組態的儲存貯體產生調查結果。
在 Amazon S3 儲存貯體中使用 S3 版本控制時,您可以選擇透過設定儲存貯體來啟用MFA刪除來新增另一層安全層。 Amazon S3 當您執行此操作時,儲存貯體擁有者必須在刪除版本或變更儲存貯體版本控制狀態的任何請求中包含兩種形式的身分驗證。如果您的安全登入資料遭到洩露,MFA刪除 可提供額外的安全性。 MFA 刪除也有助於防止意外刪除儲存貯體,方法是要求啟動刪除動作的使用者使用MFA程式碼來證明MFA裝置的實體擁有,並為刪除動作新增額外的摩擦和安全層。
注意
MFA 刪除功能需要儲存貯體版本控制做為相依性。儲存貯體版本控制是一種將 S3 物件的多種變化保留在相同儲存貯體中的方法。此外,只有以根使用者身分登入的儲存貯體擁有者可以啟用MFA刪除,並在 S3 儲存貯體上執行刪除動作。
修補
若要在儲存貯體上啟用 S3 版本控制和設定MFA刪除,請參閱《Amazon Simple Storage Service 使用者指南》中的設定MFA刪除。
【S3.22】 S3 一般用途儲存貯體應記錄物件層級寫入事件
相關要求:CIS AWS 基礎基準 3.0.0/3.8 版、4.0.1/10.2.1 PCIDSS版
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::::Account
AWS Config 規則: cloudtrail-all-write-s3-data-event-check
排程類型:定期
參數:無
此控制項會檢查 是否至少 AWS 帳戶 有一個 AWS CloudTrail 多區域線索,可記錄 Amazon S3 儲存貯體的所有寫入資料事件。如果帳戶沒有記錄 S3 儲存貯體寫入資料事件的多區域追蹤,則控制項會失敗。
S3 物件層級操作,例如 GetObject、 DeleteObject和 PutObject,稱為資料事件。根據預設, CloudTrail 不會記錄資料事件,但您可以設定追蹤來記錄 S3 儲存貯體的資料事件。當您為寫入資料事件啟用物件層級記錄時,您可以記錄 S3 儲存貯體中的每個個別物件 (檔案) 存取。啟用物件層級記錄可協助您符合資料合規要求、執行全面的安全分析、監控 中的使用者行為的特定模式 AWS 帳戶,以及使用 Amazon CloudWatch Events 對 S3 儲存貯體內的物件層級API活動採取動作。如果您設定多區域線索來記錄所有 S3 儲存貯體的唯讀或所有類型的資料事件,則此控制項會產生PASSED調查結果。
修補
若要啟用 S3 儲存貯體的物件層級記錄,請參閱《Amazon Simple Storage Service 使用者指南》中的啟用 S3 儲存貯體和物件 CloudTrail 的事件記錄。
【S3.23】 S3 一般用途儲存貯體應記錄物件層級讀取事件
相關要求:CIS AWS 基礎基準 3.0.0/3.9 版、4.0.1/10.2.1 PCIDSS版
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::::Account
AWS Config 規則: cloudtrail-all-read-s3-data-event-check
排程類型:定期
參數:無
此控制項會檢查 是否至少 AWS 帳戶 有一個 AWS CloudTrail 多區域線索,可記錄 Amazon S3 儲存貯體的所有讀取資料事件。如果帳戶沒有記錄 S3 儲存貯體讀取資料事件的多區域追蹤,則控制項會失敗。
S3 物件層級操作,例如 GetObject、 DeleteObject和 PutObject,稱為資料事件。根據預設, CloudTrail 不會記錄資料事件,但您可以設定追蹤來記錄 S3 儲存貯體的資料事件。當您為讀取資料事件啟用物件層級記錄時,您可以記錄 S3 儲存貯體中的每個個別物件 (檔案) 存取。啟用物件層級記錄可協助您符合資料合規要求、執行全面的安全分析、監控 中的使用者行為的特定模式 AWS 帳戶,以及使用 Amazon CloudWatch Events 對 S3 儲存貯體內的物件層級API活動採取動作。如果您設定多區域線索記錄所有 S3 儲存貯體的唯讀或所有類型的資料事件,則此控制項會產生PASSED調查結果。
修補
若要啟用 S3 儲存貯體的物件層級記錄,請參閱《Amazon Simple Storage Service 使用者指南》中的啟用 S3 儲存貯體和物件 CloudTrail 的事件記錄。
【S3.24】 S3 多區域存取點應該啟用封鎖公開存取設定
相關要求:PCIDSSv4.0.1/1.4.4
類別:保護 > 安全網路組態 > 資源不可公開存取
嚴重性:高
資源類型: AWS::S3::MultiRegionAccessPoint
AWS Config rule:s3-mrap-public-access-blocked(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon S3 多區域存取點是否已啟用封鎖公有存取設定。當多區域存取點未啟用封鎖公有存取設定時,控制項會失敗。
可公開存取的資源可能會導致未經授權的存取、資料外洩或漏洞遭到利用。透過身分驗證和授權措施限制存取,有助於保護敏感資訊和維護 資源的完整性。
修補
根據預設,會針對 S3 多區域存取點啟用所有封鎖公開存取設定。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的使用 Amazon S3 多區域存取點封鎖公有存取。 在建立多區域存取點的封鎖公開存取設定後,您便無法再變更設定。
