修复 Amazon S3 存储桶的暴露 - AmazonSecurity Hub
Amazon S3 存储桶的错误配置特征Amazon S3 存储桶的可访问性特征Amazon S3 存储桶的敏感数据特征
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修复 Amazon S3 存储桶的暴露

AmazonSecurity Hub 可以生成亚马逊简单存储服务 (S3) 存储桶的风险调查结果。

在 Security Hub 控制台上,暴露调查发现中涉及的 Amazon S3 存储桶及其识别信息列在调查发现详细信息的资源部分中。通过编程方式,您可以通过 Security Hub CSP GetFindingsV2M API 的操作来检索资源详细信息。

在确定暴露调查发现中涉及的资源后,如果不需要该资源,您可以将其删除。删除不必要的资源可以减少您的曝光概况和Amazon成本。如果资源至关重要,请按照这些建议的修复步骤进行操作以帮助降低风险。修复主题根据特征的类型进行划分。

单个暴露调查发现包含在多个修复主题中发现的问题。相反,您只需解决一个修复主题即可解决暴露调查发现并降低其严重性级别。您的风险修复方法取决于您的组织要求和工作负载。

注意

本主题中提供的补救指南可能需要在其他Amazon资源中进行更多咨询。

Amazon S3 存储桶的错误配置特征

以下是 Amazon S3 存储桶的错误配置特征和建议的修复步骤。

Amazon S3 存储桶已禁用版本控制

Amazon S3 版本控制可帮助您在同一个存储桶中保存对象的多个变体。禁用版本控制后,Amazon S3 只存储每个对象的最新版本,这意味着如果对象被意外或恶意删除或覆盖,则无法恢复。启用版本控制的存储桶可防止意外删除、应用程序故障以及勒索软件攻击等安全事件,在这些情况下可能会发生未经授权的数据修改或删除。根据安全最佳实践,我们建议对包含重要数据的存储桶启用版本控制,因为这些数据如果丢失则将难以或无法重新创建。

  1. 启用版本控制 – 要在存储桶上启用 Amazon S3 版本控制,请参阅《Amazon Simple Storage Service 用户指南》中的在存储桶上启用版本控制。启用版本控制时,请考虑实施生命周期规则来管理存储,因为版本控制会维护对象的多个副本。

Amazon S3 存储桶已禁用对象锁定

Amazon S3 对象锁定为 Amazon S3 对象提供了 write-once-read-many (WORM) 模型,可防止它们在固定期限内或无限期地被删除或覆盖。禁用对象锁定后,您的对象可能容易遭受意外或恶意删除、修改或勒索软件加密。对象锁定对于遵守监管要求(需要不可变数据存储)以及防范勒索软件等可能试图加密数据的复杂威胁尤为重要。启用对象锁定后,您可以强制执行保留策略作为额外数据保护层,并为您的关键数据创建不可变的备份策略。根据安全最佳实践,我们建议启用对象锁定以防止恶意修改对象。

  1. 请注意,只能在创建新的存储桶时启用对象锁定,因此您需要创建一个启用对象锁定的新存储桶。对于大型迁移,请考虑使用批量操作将对象复制到新存储桶。在锁定任何对象之前,您还必须在存储桶上启用 Amazon S3 版本控制和对象锁定。由于只能在新存储桶上启用对象锁定,因此您需要将现有数据迁移到已启用对象锁定的新存储桶。配置 Amazon S3 对象锁 — 有关如何在存储桶上配置对象锁的信息,请参阅亚马逊简单存储服务用户指南中的配置 Amazon S3 对象锁。设置对象锁定后,请根据您的环境选择合适的保留模式。

Amazon S3 存储桶未使用Amazon KMS密钥进行静态加密

Amazon S3 应用具有 Amazon S3 托管式密钥的服务器端加密作为所有新存储桶的默认加密级别。虽然 Amazon S3 托管密钥提供强大的加密保护,但它提供的访问控制和审计功能级别与Amazon Key Management Service密钥不同。使用 KMS 密钥时,访问对象需要同时拥有 Amazon S3 存储桶和加密该对象的 KMS 密钥的权限。这对于敏感数据尤其重要,在这些数据中,您需要精细控制谁可以访问加密对象,并对加密密钥使用情况进行全面的审核记录。根据安全最佳实践,我们建议使用 KMS 密钥对包含敏感数据的存储桶进行加密,或者将其用于具有严格合规性要求的环境。

  1. 配置 Amazon S3 存储桶密钥

    要将存储桶配置为对新对象使用 Amazon S3 存储桶密钥,请参阅《Amazon Simple Storage Service 用户指南》中的将存储桶配置为将 Amazon S3 存储桶密钥与 SSE-KMS 结合使用于新对象。有关如何加密现有对象的信息,请参阅Amazon存储博客中的使用 Amazon S3 批处理操作加密对象

实施Amazon KMS加密时,请考虑以下几点:

  • 密钥管理-决定使用Amazon托管密钥还是客户托管密钥 (CMK)。 CMKs 让客户完全控制密钥的生命周期和使用情况。有关这两种密钥之间区别的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的 Amazon KMS keys

  • 密钥轮换 – 要采取其他安全措施,请为您的 KMS 密钥启用自动密钥轮换。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的 Enable automatic key rotation

受版本控制的 Amazon S3 存储桶上已禁用多重身份验证(MFA)删除

多重身份验证(MFA)删除可为您的 Amazon S3 存储桶提供额外安全保护层。它对于破坏性 Amazon S3 操作需要多重身份验证。禁用 MFA 删除后,具有适当权限的用户无需额外身份验证即可永久删除对象版本或暂停存储桶上的版本控制。启用 MFA 删除有助于防止未经授权或意外删除您的数据,从而增强对勒索软件攻击、内部威胁和操作错误的防护。MFA 删除对于包含关键数据或合规性敏感数据的存储桶尤其有价值,这些数据必须防止未经授权的删除。根据安全最佳实践,我们建议为 Amazon S3 存储桶启用 MFA。

  1. 查看 MFA 类型

    Amazon支持以下 MFA 类型。虽然使用物理设备进行身份验证通常能提供更严格的安全保护,但使用任何类型的 MFA 比禁用 MFA 更安全。

  2. 在资源策略级别强制执行 MFA

    在存储桶策略中使用 aws:MultiFactorAuthAge 条件键,以要求对敏感操作进行 MFA。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的需要 MFA

  3. 启用 MFA

    要启用 MFA 删除,请确保在 Amazon S3 存储桶上启用版本控制。仅已启用版本控制的存储桶支持 MFA 删除。有关如何启用 Amazon S3 版本控制的信息,请参阅《Amazon Simple Storage Service 用户指南》中的在存储桶上启用版本控制。无法通过 Amazon S3 控制台启用 MFA 删除。您必须使用 Amazon S3 API 或 Amazon CLI。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》配置 MFA 删除

Amazon S3 存储桶允许其他Amazon账户的委托人修改存储桶权限

Amazon S3 存储桶策略控制对存储桶和对象的访问。当存储桶策略允许其他Amazon账户的委托人修改存储桶权限时,未经授权的用户可以重新配置您的存储桶。如果外部委托人凭证遭到泄露,未经授权的用户可以控制您的存储桶,从而导致数据泄露或服务中断。遵循标准的安全原则,Amazon建议您将权限管理操作仅限于受信任的委托人。

  1. 查看和识别存储桶策略

    在曝光中,在 ARN 字段中标识 Amazon S3 存储桶。在 Amazon S3 控制台中,选择存储桶,然后导航至权限选项卡以查看存储桶策略。查看附加到存储桶的权限策略。查找授予 s3:PutBucketPolicy, s3:PutBucketAcl, s3:DeleteBucketPolicy, s3:* 等操作的策略语句,或者允许访问您账户之外的主体的策略语句,如主体语句中所述。

  2. 修改存储桶策略

    修改存储桶策略以删除或限制授予其他Amazon账户的操作:

    • 移除向外部账户授予权限管理操作的策略语句。

    • 如果需要跨账户访问,请将宽泛权限 (s3:*) 替换为不包含存储桶权限管理的特定操作。

    有关修改存储桶策略的信息,请参阅《亚马逊简单存储服务用户指南》中的使用 Amazon S3 控制台添加存储桶策略

Amazon S3 存储桶的可访问性特征

以下是 Amazon S3 存储桶的可访问性特征和建议的修复步骤。

Amazon S3 存储桶具有公有访问权限

默认情况下,Amazon S3 存储桶和对象是私有的,但可以通过各种配置将其设为公开。如果修改存储桶策略、接入点策略或对象权限以允许公开访问,则您面临暴露敏感数据的风险。

  1. 评测存储桶

    根据您的组织政策、合规要求或数据分类,评测您的存储桶是否可以设为私有。如果您不打算向公众或其他人授予存储桶访问权限Amazon Web Services 账户,请按照其余的补救说明进行操作。

  2. 将存储桶配置为私有

    请选择以下选项之一来配置 Amazon S3 存储桶的私有访问权限:

    • 账户级别 – 要使用账户级别设置阻止对账户中所有存储桶的公开访问,请参阅《Amazon Simple Storage Service 用户指南》中的为您的账户配置屏蔽公共访问权限设置

    • 存储桶级别 — 要阻止对特定存储桶的公开访问,请参阅亚马逊简单存储服务用户指南中的为 Ama zon S3Buckets 配置阻止公开访问设置

    • 存储桶 ACL 或策略 — 要修改存储桶访问控制列表 (ACL)、存储桶策略、多区域接入点 (MRAP) 策略或访问点策略以删除对存储桶的公开访问权限,请参阅 A mazon Simple Storage Service 用户指南中的查看和更改存储桶访问权限。如果在账户级别或存储桶级别阻止公开访问,则这些阻止优先于允许公开访问的策略。

Amazon S3 存储桶具有公共读取权限

具有公共读取权限的 Amazon S3 存储桶允许互联网上的任何人查看您的存储桶内容。虽然这对于公开访问的网站或共享资源来说可能是必要的,但如果存储桶包含敏感数据,则可能会造成安全风险。公共读取权限可能导致未经授权的查看和下载,如果敏感数据存储在这些存储桶中,则可能导致数据泄露。遵循标准安全原则,Amazon建议将对 Amazon S3 存储桶的访问权限限制为必要的用户和系统。

  1. 在存储桶级别阻止公开访问

    Amazon S3 提供阻止公共访问设置,无论存储桶策略如何,都可以在存储桶和账户级别进行配置,以防止公众访问或 ACLs。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的阻止对 Amazon S3 存储的公共访问阻止公开访问后,请检查您的存储桶访问控制配置,以确保其符合您的访问要求。然后查看您的 Amazon S3 存储桶策略,明确定义谁可以访问您的存储桶。有关存储桶策略的示例,请参阅《Amazon Simple Storage Service 用户指南》中的 Amazon S3 存储桶策略的示例

  2. 替代访问方法

    如果需要公共读取权限,请考虑以下更安全的替代方案:

    • CloudFront— CloudFront 与原始访问身份 (OAI) 或源访问控制 (OAC) 一起使用,以允许从私有 Amazon S3 存储桶进行读取访问。这种替代方案限制了对您的 Amazon S3 存储桶的直接访问,同时允许通过 CloudFront公开访问内容。有关更多信息,请参阅《亚马逊 CloudFront 开发者指南》中的限制对 Amaz on S3 来源的访问

    • 预签名 URLs-使用预签名 URLs 来临时访问特定对象。有关更多信息,请参阅《Amazon CloudFront 开发者指南》 URLs中的使用预签名共享对象

Amazon S3 存储桶具有写入权限

具有公共写入权限的 Amazon S3 存储桶允许互联网上的任何人上传、修改或删除您的存储桶中的对象。这会造成严重的安全风险,包括有人可能上传恶意文件、修改现有文件和删除数据。公共写入权限会造成可被攻击者利用的安全漏洞。遵循标准安全原则,Amazon建议将对 Amazon S3 存储桶的写入权限限制为仅限必要的用户和系统。

  1. 在账户和存储桶级别阻止公开访问

    Amazon S3 提供了封锁公有访问设置,可以在存储桶和账户级别配置这些设置,无论存储桶策略如何,都可防止公开访问或 ACLs。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的阻止对 Amazon S3 存储的公共访问

  2. 修改存储桶策略

    要更精细地移除公共写入权限,请查看存储桶策略。您可以查找 s3:PutObjects3:DeleteObjects3:*。有关管理存储桶策略的更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的 Amazon S3 的存储桶策略

  3. 替代访问方法

    如果需要公共读取权限,请考虑以下更安全的替代方案:

    • CloudFront— CloudFront 与原始访问身份 (OAI) 或源访问控制 (OAC) 一起使用,以允许从私有 Amazon S3 存储桶进行读取访问。这种替代方案限制了对您的 Amazon S3 存储桶的直接访问,同时允许通过 CloudFront公开访问内容。有关更多信息,请参阅《亚马逊 CloudFront 开发者指南》中的限制对 Amaz on S3 来源的访问

    • 预签名 URLs-使用预签名 URLs 来临时访问特定对象。有关更多信息,请参阅 Amazon 简单存储服务用户指南 URLs中的使用预签名共享对象

Amazon S3 接入点已启用公开访问设置

Amazon S3 接入点提供对 Amazon S3 存储桶中的共享数据集的自定义访问。当你为接入点启用公共访问时,它可能允许互联网上的任何人访问你的数据。根据标准安全原则,Amazon建议限制公众访问 Amazon S3 接入点。

  1. 创建新的阻止公开访问的接入点

    Amazon S3 不支持在创建接入点之后更改接入点的公开访问设置。有关创建接入点的信息,请参阅 Amazon 简单存储服务用户指南中的管理通用存储桶接入点的公共访问权限。有关管理公共访问接入点的更多信息,请参阅 Amazon Simple Storage Service 用户指南中的为通用存储桶创建接入点

Amazon S3 存储桶的敏感数据特征

以下是 Amazon S3 存储桶的敏感数据特征和建议的修复步骤。

Amazon S3 存储桶的敏感数据特征

当 Macie 在您的 Amazon S3 存储桶中识别出敏感数据时,它会指明需要立即注意的潜在安全和合规风险。

敏感数据可能包括:

  • 凭据

  • 个人身份信息

  • 财务信息

  • 需要保护的机密内容

如果敏感数据因错误配置或未经授权的访问而暴露,则可能会导致合规性违规、数据泄露、身份盗用或经济损失。遵循安全最佳实践,Amazon建议对数据进行适当分类,并持续监控 Amazon S3 存储桶中的敏感数据。

对敏感数据实施控制

在暴露调查发现中,选择打开资源。查看检测到的敏感数据类型及其在存储桶中的位置。如需帮助解读 Macie 调查发现,请参阅《Amazon Macie 用户指南》中的 Types of Macie findings

根据发现的敏感数据类型,实施适当的安全控制:

  • 限制对存储桶的访问 – 查看存储桶权限,确保其遵循最低权限原则。使用 IAM 策略、存储桶策略和 ACLs 来限制访问权限。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的 Amazon S3 的身份和访问管理

  • 启用服务器端加密 – 启用具有 KMS 密钥的服务器端加密以获得额外保护。有关更多信息,请参阅《亚马逊简单存储服务用户指南》中的使用 Amazon KMS 密钥的服务器端加密 (SSE-KMS)

  • 用途 Amazon Glue DataBrew-Glue DataBrew 用于数据准备和清理。有关更多信息,请参阅《Amazon Glue DataBrew 开发人员指南》中的 What is Amazon Glue DataBrew