本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Security Hub CSPM 識別 中的公 AWS Organizations 有 Amazon S3 儲存貯體
<a name="identify-public-s3-buckets-in-aws-organizations-using-security-hub"></a>

*Mourad Cherfaoui、Arun Chandapillai 和 Parag Nagwekar，Amazon Web Services*

## 總結
<a name="identify-public-s3-buckets-in-aws-organizations-using-security-hub-summary"></a>

此模式說明如何建置機制，以識別您 AWS Organizations 帳戶中的公有 Amazon Simple Storage Service (Amazon S3) 儲存貯體。此機制的運作方式是使用 [AWS 中基礎安全最佳實務 (FSBP) 標準的](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)控制項 AWS Security Hub CSPM 來監控 Amazon S3 儲存貯體。您可以使用 Amazon EventBridge 來處理 Security Hub CSPM [問題](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html)清單，然後將這些問題清單發佈至 Amazon Simple Notification Service (Amazon SNS) 主題。組織中的利益相關者可以訂閱主題，並立即收到有關調查結果的電子郵件通知。

根據預設，新的 Amazon S3 儲存貯體及其物件不允許公開存取。您可以在必須根據組織需求修改預設 Amazon S3 組態的情況下使用此模式。例如，這可能是您有一個 Amazon S3 儲存貯體託管公開網站或檔案的情況，網際網路上的每個人都必須能夠從 Amazon S3 儲存貯體讀取。

Security Hub CSPM 通常部署為中央服務，以合併所有安全性問題清單，包括與安全標準和合規要求相關的問題清單。您可以使用其他 來偵測公 AWS 服務 有 Amazon S3 儲存貯體，但此模式會使用具有最少組態的現有 Security Hub CSPM 部署。

## 先決條件和限制
<a name="identify-public-s3-buckets-in-aws-organizations-using-security-hub-prereqs"></a>

**先決條件**
+ 具有專用 [Security Hub CSPM 管理員帳戶的](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html) AWS 多帳戶設定
+ Security Hub CSPM 和 AWS Config，在您要監控 AWS 區域 的 中啟用 
**注意**  
如果您想要從單一[彙總區域監控多個區域，則必須在 Security Hub CSPM 中啟用跨](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation-enable.html)區域彙總。
+ 存取和更新 Security Hub CSPM 管理員帳戶的使用者許可、對組織中所有 Amazon S3 儲存貯體的讀取存取權，以及關閉公有存取權的許可 （如果需要）

## Architecture
<a name="identify-public-s3-buckets-in-aws-organizations-using-security-hub-architecture"></a>

下圖顯示使用 Security Hub CSPM 來識別公有 Amazon S3 儲存貯體的架構。

![\[顯示跨帳戶複寫工作流程的圖表\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/images/pattern-img/7e365290-e3e9-460a-b69f-669ba459cf4c/images/381d66ac-ec03-4458-9793-9d125cebdba6.png)


圖表顯示下列工作流程：

1. Security Hub CSPM 會使用 FSBP 安全標準的 S3.2 和 S3.3 控制項來監控所有 AWS Organizations 帳戶 （包括管理員帳戶） 中 Amazon S3 儲存貯體的組態，並在儲存貯體設定為公有時偵測問題清單。

1. Security Hub CSPM 管理員帳戶會從所有成員帳戶存取問題清單 （包括 S3.2 和 S3.3 的問題清單）。

1. Security Hub CSPM 會自動將所有新調查結果和現有調查結果的所有更新作為 **Security Hub CSPM 調查結果 - 匯入**的事件傳送至 EventBridge。這包括來自管理員和成員帳戶的問題清單事件。

1. EventBridge 規則會篩選來自 S3.2 和 S3.3 的問題清單，其 為 `ComplianceStatus` `FAILED`，工作流程狀態為 `NEW`，而 `RecordState`為 `ACTIVE`。

1. 規則使用事件模式來識別事件，並在符合時將其傳送至 Amazon SNS 主題。

1. Amazon SNS 主題會將事件傳送給其訂閱者 （例如透過電子郵件）。

1. 指定接收電子郵件通知的安全分析師會檢閱有問題的 Amazon S3 儲存貯體。

1. 如果儲存貯體已核准公開存取，安全分析師會將 Security Hub CSPM 中對應調查結果的工作流程狀態設定為 `SUPPRESSED`。否則，分析師會將狀態設定為 `NOTIFIED`。這可消除 Amazon S3 儲存貯體的未來通知，並減少通知雜訊。

1. 如果工作流程狀態設定為 `NOTIFIED`，安全分析師會與儲存貯體擁有者一起檢閱調查結果，以判斷公有存取是否合理且符合隱私權和資料保護要求。調查會導致移除儲存貯體的公有存取權或核准公有存取權。在後一種情況下，安全分析師會將工作流程狀態設定為 `SUPPRESSED`。

**注意**  
架構圖同時適用於單一區域和跨區域彙總部署。在圖表中的帳戶 A、B 和 C 中，如果啟用跨區域彙總，Security Hub CSPM 可以屬於與管理員帳戶相同的區域，也可以屬於不同的區域。

## 工具
<a name="identify-public-s3-buckets-in-aws-organizations-using-security-hub-tools"></a>
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) 是一種無伺服器事件匯流排服務，可協助您將應用程式與來自各種來源的即時資料連線。EventBridge 可從您自己的應用程式、軟體即服務 (SaaS) 應用程式和 提供即時資料串流 AWS 服務。如果資料符合使用者定義的規則，EventBridge 會將該資料路由到目標，例如 Amazon SNS 主題和 AWS Lambda 函數。
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) 可協助您協調和管理發佈者和用戶端之間的訊息交換，包括 Web 伺服器和電子郵件地址。訂閱者會收到發佈到所訂閱主題的所有訊息，且某一主題的所有訂閱者均會收到相同訊息。
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) 是一種雲端型物件儲存服務，可協助您儲存、保護和擷取任何數量的資料。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 提供 中安全狀態的完整檢視 AWS。Security Hub CSPM 也可協助您根據安全產業標準和最佳實務來檢查 AWS 環境。Security Hub CSPM 會從跨 AWS 帳戶、 服務和支援的第三方合作夥伴產品收集安全資料，然後協助分析安全趨勢並識別最高優先順序的安全問題。

## 史詩
<a name="identify-public-s3-buckets-in-aws-organizations-using-security-hub-epics"></a>

### 設定 Security Hub CSPM 帳戶
<a name="configure-ash-accounts"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 在 AWS Organizations 帳戶中啟用 Security Hub CSPM。 | 若要在您要監控 Amazon S3 儲存貯體的組織帳戶中啟用 Security Hub CSPM，請參閱 Security Hub CSPM 文件中的[指定 Security Hub CSPM 管理員帳戶 （主控台）](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#:~:text=AWSSecurityHubOrganizationsAccess-,Designating%20a%20Security%20Hub%20administrator%20account%20(console),-The%20organization%20management) 和管理[屬於組織的成員帳戶](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts-orgs.html)。 | AWS 管理員 | 
| （選用） 啟用跨區域彙總。 | 如果您想要從單一區域監控多個區域中的 Amazon S3 儲存貯體，請設定[跨區域彙總](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)。 | AWS 管理員 | 
| 啟用 S3FSBP 安全標準的 S3.2 和 S3.3 控制項。 | 您必須為 S3FSBP 安全標準啟用 S3.2 和 S3.3 控制項。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/identify-public-s3-buckets-in-aws-organizations-using-security-hub.html) | AWS 管理員 | 

### 設定環境
<a name="set-up-the-environment"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 設定 Amazon SNS 主題和電子郵件訂閱。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/identify-public-s3-buckets-in-aws-organizations-using-security-hub.html) | AWS 管理員 | 
| 設定 EventBridge 規則。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/identify-public-s3-buckets-in-aws-organizations-using-security-hub.html) | AWS 管理員 | 

## 疑難排解
<a name="identify-public-s3-buckets-in-aws-organizations-using-security-hub-troubleshooting"></a>


| 問題 | 解決方案 | 
| --- | --- | 
| 我的 Amazon S3 儲存貯體已啟用公有存取，但我沒有收到電子郵件通知。 | 這可能是因為儲存貯體是在另一個區域中建立的，並且未在 Security Hub CSPM 管理員帳戶中啟用跨區域彙總。若要解決此問題，請在 Amazon S3 儲存貯體目前所在的區域中啟用跨區域彙總或實作此模式的解決方案。 | 

## 相關資源
<a name="identify-public-s3-buckets-in-aws-organizations-using-security-hub-resources"></a>
+ [什麼是 AWS Security Hub CSPM？](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) (Security Hub CSPM 文件）
+ [AWS 基礎安全最佳實務 (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) (Security Hub CSPM 文件）
+ [AWS Security Hub CSPM 多帳戶啟用指令碼 ](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/tree/master/multiaccount-enable)(AWS Labs)
+ [Amazon S3 的安全最佳實務 ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)(Amazon S3 文件）

## 其他資訊
<a name="identify-public-s3-buckets-in-aws-organizations-using-security-hub-additional"></a>

*用於監控公有 Amazon S3 儲存貯體的工作流程*

下列工作流程說明如何監控組織中的公有 Amazon S3 儲存貯體。工作流程假設您已完成此模式*的設定 Amazon SNS 主題和電子郵件訂閱*案例中的步驟*。*

1. 當 Amazon S3 儲存貯體設定為公開存取時，您會收到電子郵件通知。
   + 如果儲存貯`SUPPRESSED`體已核准公開存取，請在 Security Hub CSPM 管理員帳戶中將對應調查結果的工作流程狀態設為 。這可防止 Security Hub CSPM 為此儲存貯體發出進一步通知，並可以消除重複的提醒。
   + 如果儲存貯體未核准公開存取，請將 Security Hub CSPM 管理員帳戶中對應調查結果的工作流程狀態設定為 `NOTIFIED`。這可防止 Security Hub CSPM 從 Security Hub CSPM 發出此儲存貯體的進一步通知，並可以消除雜訊。

1. 如果儲存貯體可能包含敏感資料，請立即關閉公開存取，直到檢閱完成為止。如果您關閉公有存取，則 Security Hub CSPM 會將工作流程狀態變更為 `RESOLVED`。然後，儲存貯體的電子郵件通知會停止。

1. 尋找將儲存貯體設定為公有 （例如，使用 AWS CloudTrail) 並開始檢閱的使用者。檢閱會導致移除儲存貯體的公有存取權或核准公有存取權。如果已核准公開存取，請將對應調查結果的工作流程狀態設定為 `SUPPRESSED`。