Empfehlungen zur Sicherheitskontrolle für die Identitäts- und Zugriffsverwaltung

Sie können Identitäten in AWS einer externen Identitätsquelle erstellen oder eine Verbindung herstellen. Mithilfe von AWS Identity and Access Management (IAM-) Richtlinien gewähren Sie Benutzern die erforderlichen Berechtigungen, damit sie auf AWS Ressourcen und integrierte Anwendungen zugreifen oder diese verwalten können. Ein effektives Identitäts- und Zugriffsmanagement hilft zu überprüfen, ob die richtigen Personen und Maschinen unter den richtigen Bedingungen Zugriff auf die richtigen Ressourcen haben. Das AWS Well-Architected Framework bietet bewährte Methoden für die Verwaltung von Identitäten und deren Berechtigungen. Beispiele für bewährte Verfahren sind die Verwendung eines zentralen Identitätsanbieters und die Verwendung starker Anmeldemechanismen wie Multi-Faktor-Authentifizierung (MFA). Die Sicherheitskontrollen in diesem Abschnitt können Ihnen bei der Implementierung dieser bewährten Methoden helfen.

Überwachen und konfigurieren Sie Benachrichtigungen für Root-Benutzeraktivitäten

Wenn Sie zum ersten Mal eine erstellen AWS-Konto, beginnen Sie mit einer einzigen Anmeldeidentität, dem so genannten Root-Benutzer. Standardmäßig hat der Root-Benutzer vollen Zugriff auf alle AWS-Services Ressourcen im Konto. Sie sollten den Root-Benutzer genau kontrollieren und überwachen und ihn nur für Aufgaben verwenden, für die Root-Benutzeranmeldedaten erforderlich sind.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Gewähren Sie den Zugriff mit den geringsten Rechten im Well-Architected Framework AWS

• Überwachen Sie die IAM-Root-Benutzeraktivitäten in Prescriptive Guidance AWS

Keine Zugriffsschlüssel für den Root-Benutzer erstellen

Der Stammbenutzer ist der AWS-Konto-Benutzer mit den meisten Berechtigungen. Die Deaktivierung des programmatischen Zugriffs auf den Root-Benutzer trägt dazu bei, das Risiko einer versehentlichen Offenlegung der Benutzeranmeldeinformationen und der damit verbundenen Beeinträchtigung der Cloud-Umgebung zu verringern. Wir empfehlen Ihnen, IAM-Rollen als temporäre Anmeldeinformationen für den Zugriff auf Ihre Ressourcen zu erstellen und zu verwenden. AWS-Konten

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Der IAM-Root-Benutzerzugriffsschlüssel sollte in der Dokumentation nicht enthalten sein AWS Security Hub

• Löschen der Zugriffsschlüssel für den Root-Benutzer in der IAM-Dokumentation

• IAM-Rollen in der IAM-Dokumentation

MFA für den Root-Benutzer aktivieren

Wir empfehlen, mehrere Geräte mit Multi-Faktor-Authentifizierung (MFA) für AWS-Konto Root-Benutzer und IAM-Benutzer zu aktivieren. Dies erhöht die Sicherheitslatte AWS-Konten und kann die Zugriffsverwaltung vereinfachen. Da es sich bei einem Root-Benutzer um einen Benutzer mit hohen Rechten handelt, der privilegierte Aktionen ausführen kann, ist es wichtig, MFA für den Root-Benutzer vorzuschreiben. Sie können ein Hardware-MFA-Gerät verwenden, das einen numerischen Code auf der Grundlage des Time-Based One-Time Password (TOTP) -Algorithmus, eines FIDO-Hardwaresicherheitsschlüssels oder einer virtuellen Authentifikatoranwendung generiert.

Im Jahr 2024 wird MFA erforderlich sein, um auf den Root-Benutzer eines beliebigen AWS-Konto Benutzers zuzugreifen. Weitere Informationen finden Sie im AWS Sicherheitsblog unter Secure by Design: AWS zur Verbesserung der MFA-Anforderungen im Jahr 2024. Wir empfehlen Ihnen dringend, diese Sicherheitspraxis auszuweiten und MFA für alle Benutzertypen in Ihren AWS Umgebungen vorzuschreiben.

Wenn möglich, empfehlen wir, ein Hardware-MFA-Gerät für den Root-Benutzer zu verwenden. Eine virtuelle MFA bietet möglicherweise nicht das gleiche Sicherheitsniveau wie ein Hardware-MFA-Gerät. Sie können Virtual MFA verwenden, während Sie auf die Genehmigung oder Lieferung des Hardwarekaufs warten.

In Situationen, in denen Sie Hunderte von Konten verwalten AWS Organizations, ist es je nach Risikobereitschaft Ihres Unternehmens möglicherweise nicht skalierbar, hardwarebasiertes MFA für den Root-Benutzer jedes Kontos in einer Organisationseinheit (OU) zu verwenden. In diesem Fall können Sie ein Konto in der Organisationseinheit auswählen, das als Verwaltungskonto für die Organisationseinheit fungiert, und dann den Root-Benutzer für die anderen Konten in dieser Organisationseinheit deaktivieren. Standardmäßig hat das OU-Verwaltungskonto keinen Zugriff auf die anderen Konten. Wenn Sie den kontenübergreifenden Zugriff im Voraus einrichten, können Sie im Notfall vom OU-Verwaltungskonto aus auf die anderen Konten zugreifen. Um den kontenübergreifenden Zugriff einzurichten, erstellen Sie eine IAM-Rolle im Mitgliedskonto und definieren Richtlinien, sodass nur der Root-Benutzer im OU-Verwaltungskonto diese Rolle übernehmen kann. Weitere Informationen finden Sie in der IAM-Dokumentation unter Tutorial: Delegieren des Zugriffs AWS-Konten mithilfe von IAM-Rollen.

Wir empfehlen, dass Sie mehrere MFA-Geräte für Ihre Root-Benutzeranmeldedaten aktivieren. Sie können bis zu acht MFA-Geräte beliebiger Kombination registrieren.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Aktivierung eines Hardware-TOTP-Tokens in der IAM-Dokumentation

• Aktivierung eines Geräts mit virtueller Multifaktor-Authentifizierung (MFA) in der IAM-Dokumentation

• Aktivierung eines FIDO-Sicherheitsschlüssels in der IAM-Dokumentation

• Schützen Sie Ihre Root-Benutzeranmeldung mit Multi-Faktor-Authentifizierung (MFA) in der IAM-Dokumentation

Folgen Sie den bewährten Sicherheitsmethoden für IAM

Die IAM-Dokumentation enthält eine Liste mit bewährten Methoden, die Ihnen helfen sollen, Ihre AWS-Konten Ressourcen zu schützen. Sie enthält Empfehlungen für die Konfiguration von Zugriff und Berechtigungen nach dem Prinzip der geringsten Rechte. Zu den bewährten Methoden für die IAM-Sicherheit gehören beispielsweise die Konfiguration eines Identitätsverbunds, die Anforderung von MFA und die Verwendung temporärer Anmeldeinformationen.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Bewährte Sicherheitsmethoden in IAM finden Sie in der IAM-Dokumentation

• Verwendung temporärer Anmeldeinformationen mit AWS Ressourcen in der IAM-Dokumentation

Gewähren Sie Berechtigungen mit den geringsten Rechten

Bei den geringsten Rechten werden nur die Berechtigungen erteilt, die zur Ausführung einer Aufgabe erforderlich sind. Dazu definieren Sie die Aktionen, die für bestimmte Ressourcen unter bestimmten Bedingungen ausgeführt werden können.

Die attributebasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen auf der Grundlage von Attributen, wie z. B. ihren Tags, definiert werden. Sie können Gruppen-, Identitäts- und Ressourcenattribute verwenden, um Berechtigungen dynamisch und skalierbar zu definieren, anstatt Berechtigungen für einzelne Benutzer zu definieren. Sie können ABAC beispielsweise verwenden, um einer Gruppe von Entwicklern den Zugriff nur auf Ressourcen zu ermöglichen, denen ein bestimmtes Tag mit ihrem Projekt verknüpft ist.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Wenden Sie in der IAM-Dokumentation Berechtigungen mit den geringsten Rechten an

• Wozu dient ABAC in der IAM-Dokumentation AWS

Definieren Sie Richtlinien für Berechtigungen auf Workload-Ebene

Es hat sich bewährt, eine Strategie für mehrere Konten zu verwenden, da sie Flexibilität bei der Definition von Leitplanken auf Workload-Ebene bietet. Die AWS Security Reference Architecture bietet verbindliche Anleitungen zur Strukturierung Ihrer Konten. Diese Konten werden als Organisation in verwaltet AWS Organizations, und die Konten sind in Organisationseinheiten gruppiert () OUs.

AWS-Services, kann Ihnen beispielsweise dabei helfen AWS Control Tower, die Kontrollen innerhalb einer Organisation zentral zu verwalten. Wir empfehlen Ihnen, für jedes Konto oder jede Organisationseinheit innerhalb der Organisation einen klaren Zweck zu definieren und die Kontrollen entsprechend diesem Zweck anzuwenden. AWS Control Tower implementiert präventive, detektive und proaktive Kontrollen, die Ihnen helfen, die Ressourcen zu verwalten und die Einhaltung der Vorschriften zu überwachen. Eine präventive Kontrolle soll verhindern, dass ein Ereignis eintritt. Eine detektive Kontrolle ist darauf ausgelegt, ein Ereignis zu erkennen, zu protokollieren und zu warnen, nachdem ein Ereignis eingetreten ist. Eine proaktive Kontrolle soll den Einsatz nicht richtlinienkonformer Ressourcen verhindern, indem Ressourcen gescannt werden, bevor sie bereitgestellt werden.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Separate Workloads mithilfe von Konten im AWS Well-Architected Framework

• AWS Sicherheitsreferenzarchitektur (AWS SRA) in präskriptiven Leitlinien AWS

• Informationen zu den Kontrollen finden Sie in der Dokumentation AWS Control Tower AWS Control Tower

• Die Implementierung von Sicherheitskontrollen ist AWS in den AWS vorgeschriebenen Leitlinien enthalten

• Verwenden Sie im Sicherheitsblog Richtlinien zur Servicekontrolle, um Zugangsberechtigungen für alle Konten in Ihrem AWS Unternehmen festzulegen AWS

Wechseln Sie die IAM-Zugriffsschlüssel in regelmäßigen Abständen

Es hat sich bewährt, die Zugriffsschlüssel für Anwendungsfälle zu aktualisieren, für die langfristige Anmeldeinformationen erforderlich sind. Wir empfehlen, die Zugangsschlüssel alle 90 Tage oder weniger zu wechseln. Durch die Rotation der Zugangsschlüssel wird das Risiko verringert, dass ein Zugriffsschlüssel verwendet wird, der mit einem kompromittierten oder gekündigten Konto verknüpft ist. Außerdem wird der Zugriff durch die Verwendung eines alten Schlüssels verhindert, der möglicherweise verloren gegangen, kompromittiert oder gestohlen wurde. Aktualisieren Sie Anwendungen immer, nachdem Sie die Zugriffstasten gedreht haben.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Aktualisieren Sie die Zugriffsschlüssel bei Bedarf für Anwendungsfälle, für die langfristige Anmeldeinformationen erforderlich sind, in der IAM-Dokumentation

• Wechseln Sie die IAM-Benutzerzugriffsschlüssel automatisch nach Bedarf mit AWS Organizations und AWS Secrets Manager in AWS Prescriptive Guidance

• Aktualisierung der Zugriffsschlüssel in der IAM-Dokumentation

Identifizieren Sie Ressourcen, die mit einer externen Entität gemeinsam genutzt werden

Eine externe Entität ist eine Ressource, eine Anwendung, ein Dienst oder ein Benutzer außerhalb Ihrer AWS Organisation, z. B. ein anderer, ein Root-Benutzer AWS-Konten, ein IAM-Benutzer oder eine IAM-Rolle, ein Verbundbenutzer, ein oder ein AWS-Service anonymer (oder nicht authentifizierter) Benutzer. Es ist eine bewährte Sicherheitsmethode, IAM Access Analyzer zu verwenden, um die Ressourcen in Ihrer Organisation und in Ihren Konten zu identifizieren, wie z. B. Amazon Simple Storage Service (Amazon S3) -Buckets oder IAM-Rollen, die mit einer externen Entität gemeinsam genutzt werden. Auf diese Weise können Sie den unbeabsichtigten Zugriff auf Ressourcen und Daten identifizieren, der ein Sicherheitsrisiko darstellt.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Überprüfen Sie den öffentlichen und kontoübergreifenden Zugriff auf Ressourcen mit IAM Access Analyzer in der IAM-Dokumentation

• Analysieren Sie den öffentlichen und kontoübergreifenden Zugriff im AWS Well-Architected Framework

• Verwendung AWS Identity and Access Management Access Analyzer in der IAM-Dokumentation