AWS Richtlinien für Sicherheitsaudits

Überprüfen Sie Ihre Sicherheitskonfiguration regelmäßig, um sich zu vergewissern, dass diese Ihren aktuellen geschäftlichen Anforderungen genügt. Eine solche Prüfung bietet Ihnen die Möglichkeit, nicht mehr benötigte IAM-Benutzer, -Rollen, -Gruppen und -Richtlinien zu entfernen und sicherzustellen, dass Ihre Benutzer und Softwareanwendungen keine übermäßigen Berechtigungen haben.

Im Folgenden finden Sie Richtlinien für die systematische Überprüfung und Überwachung Ihrer AWS Ressourcen im Hinblick auf bewährte Sicherheitsverfahren.

Tipp

Sie können Ihre Nutzung von IAM in Bezug auf bewährte Sicherheitsmethoden überwachen, indem Sie AWS Security Hub verwenden. Security Hub verwendet Sicherheitskontrollen für die Bewertung von Ressourcenkonfigurationen und Sicherheitsstandards, um Sie bei der Einhaltung verschiedener Compliance-Frameworks zu unterstützen. Weitere Informationen zur Verwendung von Security Hub zur Bewertung von IAM-Ressourcen finden Sie unter AWS Identity and Access Management-Steuerelemente im AWS Security Hub -Benutzerhandbuch.

Wann sollte eine Sicherheitsprüfung durchgeführt werden?

Überprüfen Sie Ihre Sicherheitskonfiguration in den folgenden Situatione:

• In regelmäßigen Abständen. Führen Sie als bewährte Sicherheitsmethode die in diesem Dokument beschriebenen Schritte in regelmäßigen Abständen durch.

• Wenn es in Ihrer Organisation Veränderungen gibt, z. B. Personen sie verlassen.

• Wenn Sie die Nutzung eines oder mehrerer einzelner AWS Dienste eingestellt haben, um zu überprüfen, ob Sie Berechtigungen entfernt haben, die Benutzer in Ihrem Konto nicht mehr benötigen.

• Wenn Sie Software zu Ihren Konten hinzugefügt oder entfernt haben, z. B. Anwendungen auf Amazon EC2 EC2-Instances, AWS OpsWorks Stacks, AWS CloudFormation Vorlagen usw.

• Wenn Sie vermuten, dass eine unberechtigte Person auf Ihr Konto zugegriffen hat.

Richtlinien für die Sicherheitsprüfung

Befolgen Sie bei der Prüfung der Sicherheitskonfiguration Ihres Kontos die folgenden Richtlinien:

• Seien Sie gründlich. Sehen Sie sich alle Aspekte der Sicherheitskonfiguration an, einschließlich der Funktionen, die selten verwendet verwenden.

• Stellen Sie keine Annahmen an. Wenn Sie mit bestimmten Aspekten Ihrer Sicherheitskonfiguration nicht vertraut sind (z. B. den Grund für eine bestimmte Richtlinie oder Rolle nicht kennen), gehen Sie der geschäftlichen Anforderung nach, bis Sie das potenzielle Risiko kennen.

• Halten Sie die Dinge einfach. Um die Prüfung (und Verwaltung) einfacher zu gestalten, verwenden Sie IAM-Gruppen, IAM-Rollen, konsistente Benennungen und einfache Richtlinien.

Überprüfen Sie Ihre AWS Kontoanmeldedaten

Gehen Sie wie folgt vor, wenn Sie Ihre AWS Kontoanmeldedaten überprüfen:

1. Wenn Sie die Zugriffsschlüssel für Ihren Root-Benutzer nicht verwenden, können Sie sie entfernen. Wir empfehlen dringend, für die tägliche Arbeit keine Root-Zugangsschlüssel zu verwenden AWS, sondern stattdessen Benutzer mit temporären Anmeldeinformationen zu verwenden, Benutzer im AWS IAM Identity Center z.

2. Wenn Sie Zugriffsschlüssel für Ihr Konto benötigen, stellen Sie sicher, dass Sie diese bei Bedarf aktualisieren.

Überprüfen Ihrer IAM-Benutzer

Führen Sie die folgenden Schritte aus, wenn Sie Ihre vorhandenen IAM-Benutzer prüfen:

1. Listen Sie Ihre Benutzer auf und löschen Sie dann Benutzer, die nicht notwendig sind.

2. Entfernen Sie Benutzer aus Gruppen, auf die sie keinen Zugriff benötigen.

3. Überprüfen Sie die Richtlinien, die den Gruppen zugewiesen sind, denen der Benutzer angehört. Siehe Tipps zur Prüfung der IAM-Richtlinien.

4. Löschen Sie die Sicherheitsanmeldeinformationen, die der Benutzer nicht benötigt oder die möglicherweise kompromittiert wurden. Beispielsweise benötigt ein IAM-Benutzer, der für eine Anwendung verwendet wird, kein Passwort (das nur für die Anmeldung auf AWS Websites erforderlich ist). Analog dazu gilt: Wenn ein Benutzer keine Zugriffsschlüssel verwendet, gibt es keinen Grund, dass er welche haben muss. Weitere Informationen finden Sie unter Verwalten von Passwörtern für IAM-Benutzer und Verwalten von Zugriffsschlüsseln für IAM-Benutzer.

   Sie können einen Bericht zu Anmeldeinformationen erstellen und herunterladen. In diesem Bericht sind alle IAM-Benutzer unter Ihrem Konto mit dem Status ihrer verschiedenen Anmeldeinformationen aufgeführt (z. B. Passwörter, Zugriffsschlüssel und MFA-Geräte). Für Passwörter und Zugriffsschlüssel zeigt der Bericht zu den Anmeldeinformationen an, wann das Passwort oder der Zugriffsschlüssel zuletzt verwendet wurde. Erwägen Sie, Anmeldeinformationen, die in letzter Zeit nicht verwendet wurden, von Ihrem Konto zu entfernen. (Entfernen Sie Ihren Benutzer für den Notfallzugriff nicht.) Weitere Informationen finden Sie unter Berichte über Anmeldeinformationen für Ihr AWS Konto abrufen.

5. Aktualisieren Sie Passwörter und Zugriffsschlüssel für Anwendungsfälle, die langfristige Anmeldeinformationen erfordern. Weitere Informationen finden Sie unter Verwalten von Passwörtern für IAM-Benutzer und Verwalten von Zugriffsschlüsseln für IAM-Benutzer.

6. Als bewährte Methode sollten menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden. Wenn möglich, wechseln Sie von IAM-Benutzern zu Verbundbenutzern, z. B. Benutzern im IAM Identity Center. Behalten Sie die Mindestanzahl an IAM-Benutzern bei, die für Ihre Anwendungen erforderlich sind.

Prüfen Ihrer IAM-Gruppen

Führen Sie die folgenden Schritte aus, wenn Sie Ihre IAM-Gruppen prüfen:

1. Listen Sie Ihre Gruppen auf und löschen Sie dann Gruppen, die Sie nicht verwenden.

2. Überprüfen Sie die Benutzer in den einzelnen Gruppen und entfernen Sie die Benutzer, die dort nicht hingehören.

3. Überprüfen Sie die Richtlinien für die Gruppe. Siehe Tipps zur Prüfung der IAM-Richtlinien.

Überprüfen Ihrer IAM-Rollen

Führen Sie die folgenden Schritte aus, wenn Sie Ihre IAM-Rollen prüfen:

1. Listen Sie Ihre Rollen auf und löschen Sie dann Rollen, die Sie nicht verwenden.

2. Überprüfen Sie die Vertrauensrichtlinie der Rolle. Stellen Sie sicher, dass Sie wissen, wer der Prinzipal ist und warum das Konto bzw. der Benutzer dieser Rolle zugeordnet werden muss.

3. Überprüfen Sie die Zugriffsrichtlinie der Rolle, um sicherzugehen, dass der Person, die diese Rolle übernimmt, die richtigen Berechtigungen gewährt werden – siehe Tipps zur Prüfung der IAM-Richtlinien.

Prüfen Ihrer IAM-Anbieter für SAML oder OpenID Connect (OIDC)

Wenn Sie eine IAM-Entität zum Einrichten von Vertrauensstellungen mit einem SAML- oder OIDC-Identitätsanbieter (IDP) erstellt haben, führen Sie diese Schritte aus:

1. Löschen Sie unbenutzte Anbieter.

2. Laden Sie die AWS Metadatendokumente für jeden SAML-IdP herunter, überprüfen Sie sie und stellen Sie sicher, dass die Dokumente Ihren aktuellen Geschäftsanforderungen entsprechen.

3. Holen Sie sich die neuesten Metadatendokumente von der SAML IdPs und aktualisieren Sie den Anbieter in IAM.

Überprüfen Ihrer mobilen Apps

Wenn Sie eine mobile App erstellt haben, die Anfragen an stellt AWS, gehen Sie wie folgt vor:

1. Stellen Sie sicher, dass die mobile App keine eingebetteten Zugriffsschlüssel enthält, auch nicht in verschlüsseltem Speicher.

2. Rufen Sie die temporären Anmeldeinformationen für die App mithilfe der APIs ab, die für diesen Zweck entwickelt wurden.

Anmerkung

Wir empfehlen die Verwendung von Amazon Cognito zum Verwalten von Benutzeridentitäten in Ihrer App. Dieser Service ermöglicht Ihnen die Authentifizierung von Benutzern, die Login with Amazon, Facebook, Google oder einen beliebigen OpenID Connect (OIDC)-kompatiblen Identitätsanbieter nutzen. Weitere Informationen finden Sie unter Amazon-Cognito-Identitätspools im Amazon-Cognito-Entwicklerhandbuch.

Tipps zur Prüfung der IAM-Richtlinien

Die Richtlinien sind sehr wirkungsvoll und nuanciert. Deshalb ist es wichtig, die Berechtigungen genau zu kennen, die von jeder Richtlinie gewährt werden. Beachten Sie die folgenden Hinweise, wenn Sie Ihre Richtlinien überprüfen:

• Ordnen Sie Richtlinien Gruppen oder Rollen zu, anstatt einzelnen Benutzern. Wenn ein einzelner Benutzer über eine Richtlinie verfügt, müssen Sie nachvollziehen können, warum der Benutzer die Richtlinie benötigt.

• Stellen Sie sicher, dass IAM-Benutzer, -Gruppen und -Rollen über die Berechtigungen verfügen, die sie benötigen, und dass sie über keine zusätzlichen Berechtigungen verfügen.

• Verwenden Sie den IAM-Richtliniensimulator zum Testen von Richtlinien, die Benutzern oder Gruppen zugeordnet sind.

• Denken Sie daran, dass die Berechtigungen eines Benutzers das Ergebnis aller geltenden Richtlinien sind — sowohl identitätsbasierte Richtlinien (für Benutzer, Gruppen oder Rollen) als auch ressourcenbasierte Richtlinien (für Ressourcen wie Amazon S3 S3-Buckets, Amazon SQS SQS-Warteschlangen, Amazon SNS SNS-Themen und Schlüssel). AWS KMS Es ist wichtig, alle für einen Benutzer geltenden Richtlinien zu untersuchen und zu wissen, welche Berechtigungen einem einzelnen Benutzer gewährt wurden.

• Beachten Sie Folgendes: Wenn Sie einem Benutzer erlauben, IAM-Benutzer, -Gruppen, -Rollen oder -Richtlinien zu erstellen und der Prinzipalentität eine Richtlinie zuzuweisen, gewähren Sie ihm dadurch alle Berechtigungen für alle Ressourcen in Ihrem Konto. Benutzer, die Richtlinien erstellen und sie einem Benutzer, einer Gruppe oder einer Rolle zuweisen dürfen, können sich auch selbst beliebige Berechtigungen erteilen. Gewähren Sie generell keinen Benutzern oder Rollen, denen Sie nicht vertrauen, IAM-Berechtigungen mit uneingeschränktem Zugriff auf die Ressourcen unter Ihrem Konto. Vergewissern Sie sich bei der Durchführung Ihres Sicherheitsaudits, dass vertrauenswürdigen Identitäten die folgenden IAM-Berechtigungen erteilt wurden:

  • iam:PutGroupPolicy

  • iam:PutRolePolicy

  • iam:PutUserPolicy

  • iam:CreatePolicy

  • iam:CreatePolicyVersion

  • iam:AttachGroupPolicy

  • iam:AttachRolePolicy

  • iam:AttachUserPolicy

• Stellen Sie sicher, dass Richtlinien keine Zugriffsberechtigungen für Services erteilen, die Sie nicht nutzen. Wenn Sie beispielsweise verwaltete Richtlinien verwenden, stellen Sie sicher, dass die AWS verwalteten Richtlinien, die AWS in Ihrem Konto verwendet werden, für Dienste gelten, die Sie tatsächlich nutzen. Um herauszufinden, welche AWS verwalteten Richtlinien in Ihrem Konto verwendet werden, verwenden Sie die GetAccountAuthorizationDetailsIAM-API (AWS CLI Befehl: aws iam get-account-authorization-details).

• Wenn die Richtlinie einen Benutzer berechtigt, eine Amazon-EC2-Instance zu starten, wird möglicherweise auch die Aktion iam:PassRole zugelassen. Wenn dies der Fall ist, sollten explizit die Rollen aufgelistet werden, die der Benutzer an die Amazon-EC2-Instance übergeben darf.

• Überprüfen Sie alle Werte für das Action- oder Resource-Element, die * enthalten. Gewähren Sie nach Möglichkeit Allow-Zugriff auf die einzelnen Aktionen und Ressourcen, die Benutzer benötigen. Im Folgenden sind jedoch einige Gründe aufgeführt, warum es angemessen sein kann, * in einer Richtlinie zu verwenden:

  • Die Richtlinie erteilt administrative Berechtigungen.

  • Das Platzhalterzeichen wird der Einfachheit halber für eine Reihe ähnlicher Aktionen verwendet (z. B. Describe*). Sie sollten alle Aktionen kennen, die auf diese Weise referenziert werden.

  • Das Platzhalterzeichen wird verwendet, um eine Klasse von Ressourcen oder einen Ressourcenpfad anzugeben (z. B. arn:aws:iam::account-id:users/division_abc/*). Sie können Zugriff auf alle Ressourcen in dieser Klasse oder in diesem Pfad erteilen.

  • Ein Serviceaktion unterstützt keine Berechtigungen auf Ressourcenebene. Die einzige Wahl für eine Ressource ist *.

• Prüfen Sie die Richtliniennamen, um sicherzustellen, dass sie den Zweck der Richtlinie wiedergeben. So könnte beispielsweise eine Richtlinie einen Namen haben, der "schreibgeschützt" enthält, tatsächlich gewährt sie jedoch Schreib- oder Änderungsrechte.

Weitere Informationen zur Planung Ihres Sicherheitsaudits finden Sie unter Bewährte Methoden für Sicherheit, Identität und Compliance im AWS Architecture Center.