

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Security Hub CSPM 识别 AWS Organizations 其中的公有 Amazon S3 存储桶
<a name="identify-public-s3-buckets-in-aws-organizations-using-security-hub"></a>

*Mourad Cherfaoui、Arun Chandapillai 和 Parag Nagwekar，Amazon Web Services*

## Summary
<a name="identify-public-s3-buckets-in-aws-organizations-using-security-hub-summary"></a>

此模式向您展示如何构建一种机制来识别账户中的公共亚马逊简单存储服务 (Amazon S3) 存储桶。 AWS Organizations 该机制的工作原理是使用[AWS 基础安全最佳实践 (FSBP) 标准](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)中的控件 AWS Security Hub CSPM 来监控 Amazon S3 存储桶。您可以使用亚马逊 EventBridge 来处理 Security Hub CSPM [调查结果](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html)，然后将这些发现发布到亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题中。组织中的利益相关者可订阅该主题，并立即收到有关调查结果的电子邮件通知。

默认情况下，新 Amazon S3 存储桶及其对象不允许公有访问。在必须根据组织要求修改默认 Amazon S3 配置时，您可以使用此模式。例如，在这种情况下，您可能有托管面向公众的网站的 Amazon S3 存储桶，或互联网上的每个人都必须能够从您的 Amazon S3 存储桶中读取的文件。

Security Hub CSPM 通常作为一项中央服务部署，用于整合所有安全发现，包括与安全标准和合规要求相关的发现。您还可以使用其他方法 AWS 服务 来检测公有 Amazon S3 存储桶，但是这种模式使用的是现有 Security Hub CSPM 部署，配置最少。

## 先决条件和限制
<a name="identify-public-s3-buckets-in-aws-organizations-using-security-hub-prereqs"></a>

**先决条件**
+ 使用专用 Sec [urity Hub CSP](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html) M 管理员 AWS 帐户的多账户设置
+ Security Hub CSPM 和 AWS Config，在中启用了你 AWS 区域 要监控的 
**注意**  
如果要监控来自单个[聚合区域的多个区域，则必须在 Security Hub CSPM 中启用跨](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation-enable.html)区域聚合。
+ 访问和更新 Security Hub CSPM 管理员账户的用户权限、组织中所有 Amazon S3 存储桶的读取权限以及关闭公共访问权限的权限（如果需要）

## 架构
<a name="identify-public-s3-buckets-in-aws-organizations-using-security-hub-architecture"></a>

下图显示了使用 Security Hub CSPM 识别公有 Amazon S3 存储桶的架构。

![\[显示跨账户复制工作流的图表\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/images/pattern-img/7e365290-e3e9-460a-b69f-669ba459cf4c/images/381d66ac-ec03-4458-9793-9d125cebdba6.png)


图表显示了以下工作流：

1. Security Hub CSPM 使用 FSBP 安全标准中的 S3.2 和 S3.3 控件监控所有 AWS Organizations 账户（包括管理员账户）中 Amazon S3 存储桶的配置，并检测是否将存储桶配置为公共存储桶。

1. Security Hub CSPM 管理员账户可以访问所有成员账户的调查结果（包括 S3.2 和 S3.3 的调查结果）。

1. Security Hub CSPM 会自动将所有新发现和现有发现的所有更新 EventBridge 作为 Sec **urity Hub CSPM** 调查结果——导入的事件发送到。这包含来自管理员和成员账户的调查结果的事件。

1.  EventBridge 规则会根据来自 S3.2 和 S3.3 的结果进行筛选，这些发现`ComplianceStatus`的结果为`FAILED`，工作流程状态为`NEW`，工作流状态为和 a `RecordState` 为。`ACTIVE`

1. 规则使用事件模式识别事件，并在匹配后将其发送到 Amazon SNS 主题。

1. Amazon SNS 主题将事件发送至其订阅用户（例如通过电子邮件）。

1. 指定接收电子邮件通知的、安全分析师会审查相关的 Amazon S3 存储桶。

1. 如果存储桶已获准公开访问，则安全分析师会将 Security Hub CSPM 中相应发现的工作流程状态设置为。`SUPPRESSED`否则，分析师会将状态设置为 `NOTIFIED`。这消除了 Amazon S3 存储桶未来通知，并减少了通知噪音。

1. 如果工作流状态设置为 `NOTIFIED`，安全分析师会与存储桶拥有者一起审查调查发现，以确定公开访问是否合理，是否符合隐私和数据保护要求。调查的结果是：取消了对存储桶的公共访问权限，或者批准了公共访问权限。在后一种情况下，安全分析师将工作流状态设置为 `SUPPRESSED`。

**注意**  
架构图适用于单区域与跨区域聚合部署。在图中的账户 A、B 和 C 中，如果启用了跨区域聚合，Security Hub CSPM 可以与管理员账户属于同一个区域，也可以属于不同的区域。

## 工具
<a name="identify-public-s3-buckets-in-aws-organizations-using-security-hub-tools"></a>
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) 是一项无服务器事件总线服务，可帮助您将应用程序与来自各种来源的实时数据连接起来。 EventBridge 提供来自您自己的应用程序、软件即服务 (SaaS) 应用程序的实时数据流，以及 AWS 服务。 EventBridge 如果数据符合用户定义的规则，则将该数据路由到目标，例如 Amazon SNS 主题和 AWS Lambda 函数。
+ [Amazon Simple Notiﬁcation Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) 可帮助您协调和管理发布者与客户端（包括 Web 服务器和电子邮件地址）之间的消息交换。订阅用户接收所有发布至他们所订阅主题的消息，并且一个主题的所有订阅用户收到的消息都相同。
+ [Amazon Simple Storage Service（Amazon S3）](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)是一项基于云的对象存储服务，可帮助您存储、保护和检索任意数量的数据。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)提供了中您的安全状态的全面视图 AWS。Security Hub CSPM 还可以帮助您根据安全行业标准和最佳实践检查您的 AWS 环境。Security Hub CSPM 从各种 AWS 账户服务和支持的第三方合作伙伴产品中收集安全数据，然后帮助分析安全趋势并确定优先级最高的安全问题。

## 操作说明
<a name="identify-public-s3-buckets-in-aws-organizations-using-security-hub-epics"></a>

### 配置 Security Hub CSPM 账户
<a name="configure-ash-accounts"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 在账户中启用 Security Hub CSPM。 AWS Organizations  | 要在要监控 Amazon S3 存储桶的组织账户中启用 Security Hub CSPM，请参阅 Sec [urity Hub CSPM 文档中的指定 Security Hub CSPM 管理员账户（控制台）](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#:~:text=AWSSecurityHubOrganizationsAccess-,Designating%20a%20Security%20Hub%20administrator%20account%20(console),-The%20organization%20management)[和管理属于组织的成员账户中的](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts-orgs.html)指南。 | AWS 管理员 | 
| （可选）启用跨区域聚合。 | 如果要监控单个区域中多个区域 Amazon S3 存储桶，请设置[跨区域聚合](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)。 | AWS 管理员 | 
| 支持 FSBP 安全标准的 S3.2 和 S3.3 控件。 | 您必须按 FSBP 安全标准启用 S3.2 和 S3.3 控件。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/identify-public-s3-buckets-in-aws-organizations-using-security-hub.html) | AWS 管理员 | 

### 设置环境
<a name="set-up-the-environment"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 配置 Amazon SNS 主题与电子邮件订阅。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/identify-public-s3-buckets-in-aws-organizations-using-security-hub.html) | AWS 管理员 | 
| 配置 EventBridge 规则。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/identify-public-s3-buckets-in-aws-organizations-using-security-hub.html) | AWS 管理员 | 

## 问题排查
<a name="identify-public-s3-buckets-in-aws-organizations-using-security-hub-troubleshooting"></a>


| 问题 | 解决方案 | 
| --- | --- | 
| 我有一个启用了公共访问的 Amazon S3 存储桶，但我没有收到它的电子邮件通知。 | 这可能是因为存储桶是在另一个区域创建的，而且 Security Hub CSPM 管理员账户中未启用跨区域聚合。要解决此问题，请启用跨区域聚合或在 Amazon S3 存储桶当前所在的区域中实施此模式的解决方案。 | 

## 相关资源
<a name="identify-public-s3-buckets-in-aws-organizations-using-security-hub-resources"></a>
+ [什么是 AWS Security Hub CSPM？](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) （Security Hub CSPM 文档）
+ [AWS 基础安全最佳实践 (FSBP) 标准（Sec](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) urity Hub CSPM 文档）
+ [AWS Security Hub CSPM 多账户启用脚本](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/tree/master/multiaccount-enable)（AWS 实验室）
+ [Amazon S3 安全最佳实践](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)（Amazon S3 文档）

## 附加信息
<a name="identify-public-s3-buckets-in-aws-organizations-using-security-hub-additional"></a>

*公有 Amazon S3 存储桶监控的工作流*

以下工作流说明了如何监控组织中的公有 Amazon S3 存储桶。该工作流假定您已完成此模式的*配置 Amazon SNS 主题和电子邮件订阅*说明中的步骤*。*

1. 当 Amazon S3 存储桶配置为公有访问权限，您会收到一封电子邮件通知。
   + 如果存储桶已获准公开访问，请在 Security Hub CSPM 管理员账户`SUPPRESSED`中将相应发现的工作流程状态设置为。这可以防止 Security Hub CSPM 为此存储桶发出进一步的通知，并且可以消除重复的警报。
   + 如果存储桶未获得公开访问批准，请将 Security Hub CSPM 管理员账户中相应查找结果的工作流程状态设置为。`NOTIFIED`这可以防止 Security Hub CSPM 从 Security Hub CSPM 发出有关此存储桶的进一步通知，并且可以消除噪音。

1. 如果存储桶可能包含敏感数据，则立即关闭公共访问权限，直到审查完成。如果您关闭了公共访问权限，则 Security Hub CSPM 会将工作流程状态更改为。`RESOLVED`然后，通过电子邮件发送存储桶停止的通知。

1. 找到将存储桶配置为公共存储桶的用户（例如，通过使用 AWS CloudTrail），然后开始审核。审查的结果是：删除对存储桶的公共访问权限或批准公共访问权限。如果公开访问获得批准，则将相应调查发现的工作流状态设置为 `SUPPRESSED`。