Bloqueo del acceso público para Amazon S3 / AMIs / EBS
NOTA: Aún no se completó la actualización de la versión en español a v2, sugerimos usar la versión en Inglés por ahora.
Limíte el acceso a sus Amazon S3 Buckets aprovechando la funcionalidad S3 Block Public Access
La funcionalidad (gratuita) S3 Block Public Access le permite bloquear el acceso publico a todos sus Buckets de Amazon S3 a nivel cuenta y a nivel bucket.
- Si no necesita acceso público a ningún Bucket en su cuenta, manténgalo bloqueado a nivel de cuenta.
- Si no necesita acceso público a un Bucket, manténgalo bloqueado a nivel bucket.
- Los errores de configuración en las políticas de Bucket podrían exponer información confidencial
- Todas las cuentas y Buckets nuevos vienen con el acceso público bloqueado de forma predeterminada.
Sólo al quitar el bloqueo es posible compartir públicamente los datos de un bucket (por ejemplo para crear un sitio web estático). Es decir, este bloqueo invalida a las Bucket policies.
Existe un cartel indicativo Public con fondo amarillo al lado del bucket cuando tiene una política de Bucket que permite el acceso públicos.
AWS Blog (Inglés): https://aws.amazon.com/blogs/aws/amazon-s3-block-public-access-another-layer-of-protection-for-your-accounts-and-buckets/
Se recomienda utilizar Service Control Policies para evitar la eliminación de la opción Bloquear Acceso Público si no es necesaria.
Si tiene muchas cuentas, puede utilizar el control S3.1 de AWS Security Hub para ver qué cuentas no tienen habilitado el BPA y S3.8 para validar si el BPA está habilitado a nivel de bucket.
Habilitar el bloqueo del acceso público para las AMI y los snapshots de EBS
Le recomendamos que bloquee el acceso público en las AMI y que bloquee el acceso público en los snapshots de EBS a menos que realmente tenga un caso de uso válido para ello.
Cómo comprobarlo
- Estándares de seguridad de AWS Security Hub:
- [S3.1] Los buckets de uso general de S3 deben tener habilitada la configuración de bloqueo del acceso público (a nivel de cuenta)
- [S3.2] Los buckets de uso general de S3 deben bloquear el acceso de lectura público (a nivel de bucket)
- [EC2.1] Los snapshots de Amazon EBS no deberían ser públicamente restaurables
Mitigación de riesgos
- [Exfiltración] - Los usuarios pueden configurar incorrectamente los buckets de Amazon S3 y abrirlos para el acceso público.
Guía para evaluar su grado de alineación
- ¿Tiene habilitado el bloqueo de acceso público de Amazon S3 a nivel de cuenta en todas las cuentas de su organización?
- ¿Ha habilitado BPA para las AMI de EC2 y para Amazon EBS?
- ¿Ha habilitado SCPs para evitar la eliminación de BPA?
Si necesita que los buckets sean públicos:
- ¿Cuál es su caso de uso? ¿Es un sitio web público estático? ¿Por qué no proteger esos datos con una distribución de Amazon CloudFront con reglas de AWS WAF habilitadas?
- ¿Hay algún bucket público que no hayas identificado y que sea absolutamente necesario que sea público?
- Si hay algunos buckets públicos: ¿Ha bloqueado el acceso público a nivel de depósito para todos los demás buckets de la cuenta?
Precios
No hay ningún cargo adicional por habilitar el Bloqueo del Acceso Público en Amazon S3.