Public AWS S3 bucket with file listing enabled

ファイルリストが有効な公開AWS S3バケット

Risk: medium

説明

AWSは、データを簡単に保存および取得するためのS3 Webサービスストレージを提供しています。 S3バケットへのアクセスにより、アクセス制御を有効にし、いくつかのセキュリティ設定を実装できます。S3バケットは、注目を集めた数多くのデータ漏洩の背後にあり、一般的な設定ミスの一つです。

潜在的に機密性の高い情報を含む、パブリックにアクセス可能なAWS S3バケットが検出されました。このバケットでファイルリストが有効になっており、攻撃者がバケット内のすべてのコンテンツをナビゲートできるため、この情報が検出されました。

推奨事項

AWS S3バケットの適切な構成を確保するために、以下を行います。

• パブリックアクセスが必要であることを確認します。必要ない場合は、承認されたユーザーのみにアクセスを制限します。
• パブリックアクセスが必要な場合は、ファイルリスト機能が必要であることを確認します。必要ない場合は、すべてのユーザーのアクセスからオブジェクトリスト権限を削除します。
• パブリックアクセスが必要な場合は、バケットに機密情報が保存されていないことを確認します。

リンク

• AWS S3 bucket - another layer of protection

標準

• PCI_STANDARDS:
  • REQ_2_2
  • REQ_7_3
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_6_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5
  • CC_8_1