SEC02-BP05 Regelmäßiges Überprüfen und Rotieren von Anmeldeinformationen
Prüfen und rotieren Sie Anmeldeinformationen regelmäßig, um die Zeit zu begrenzen, für die diese zum Zugriff auf Ihre Ressourcen genutzt werden können. Langfristig gültige Anmeldeinformationen sind mit Risiken verbunden, die durch die regelmäßige Rotation dieser Informationen reduziert werden können.
Gewünschtes Ergebnis: Implementieren Sie die Rotation von Anmeldeinformationen, um die Risiken zu verringern, die mit der Nutzung von langfristigen Anmeldeinformationen verbunden sind. Prüfen und korrigieren Sie regelmäßig fehlende Compliance mit Richtlinien zur Rotation von Anmeldeinformationen.
Typische Anti-Muster:
-
Keine Prüfung der Verwendung von Anmeldeinformationen
-
Unnötiges Verwenden langfristiger Anmeldeinformationen
-
Verwendung langfristiger Anmeldeinformationen, ohne diese regelmäßig zu rotieren
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch
Implementierungsleitfaden
Wenn Sie sich nicht auf temporäre Anmeldeinformationen verlassen können und langfristige Anmeldeinformationen benötigen, prüfen Sie die definierten Anmeldeinformationen, um sicherzustellen, dass die definierten Kontrollen (z. B. Multi-Faktor-Authentifizierung (MFA)) erzwungen und regelmäßig rotiert werden sowie über die entsprechende Zugriffsebene verfügen.
Eine regelmäßige Validierung, vorzugsweise durch ein automatisiertes Tool, ist notwendig, um zu überprüfen, ob die richtigen Kontrollen angewendet werden. Für Personenidentitäten sollten Sie festlegen, dass Benutzer ihre Passwörter regelmäßig ändern und anstelle von Zugriffsschlüsseln temporäre Anmeldeinformationen verwenden. Wenn Sie von AWS Identity and Access Management (IAM) Benutzern zu zentralen Identitäten wechseln, können Sie einen Bericht zu Anmeldeinformationen erstellen, um Ihre Benutzer zu überprüfen.
Wir empfehlen außerdem, dass Sie MFA in Ihrem Identitätsanbieter erzwingen. Sie können AWS-Config-Regeln einrichten oder AWS Security Hub Security Stands verwenden, um zu überwachen, ob Benutzer MFA konfiguriert haben. Erwägen Sie die Nutzung von IAM Roles Anywhere zur Bereitstellung temporärer Anmeldeinformationen für Maschinenidentitäten. In Situationen, in denen die Verwendung von IAM-Rollen und temporären Anmeldeinformationen nicht möglich ist, ist eine häufige Prüfung und Rotation von Zugriffsschlüsseln erforderlich.
Implementierungsschritte
-
Regelmäßige Prüfung der Anmeldeinformationen: Die Prüfung der in Ihrem Identitätsanbieter und in IAM konfigurierten Identitäten hilft bei der Sicherstellung, dass nur autorisierte Identitäten Zugriff auf Ihre Workload haben. Solche Identitäten können unter anderem IAM-Benutzer, Benutzer von AWS IAM Identity Center, Active-Directory-Benutzer oder Benutzer in einem anderen vorgelagerten Identitätsanbieter sein. Entfernen sie beispielsweise Personen, die die Organisation verlassen. Entfernen Sie auch kontoübergreifende Rollen, die nicht mehr erforderlich sind. Sie benötigen einen Prozess zum regelmäßigen Prüfen von Berechtigungen für die Services, auf die eine IAM-Entität zugreift. Dadurch können Sie die Richtlinien identifizieren, die Sie ändern müssen, um nicht genutzte Berechtigungen zu entfernen. Verwenden Sie Berichte zu Anmeldeinformationen und AWS Identity and Access Management Access Analyzer, um IAM-Anmeldeinformationen und -Berechtigungen zu überprüfen. Sie können Amazon CloudWatch verwenden, um Alarme für bestimmte API-Aufrufe einzurichten, die in Ihrer AWS-Umgebung erfolgen. Amazon GuardDuty kann Sie auch vor unerwarteten Aktivitäten warnen, die auf einen übermäßig freizügigen Zugriff oder einen unbeabsichtigten Zugriff auf IAM-Anmeldeinformationen hindeuten können.
-
Anmeldeinformationen regelmäßig rotieren: Wenn Sie keine temporären Anmeldeinformationen verwenden können, rotieren Sie langfristige IAM-Zugriffsschlüssel regelmäßig (spätestens nach jeweils 90 Tagen). Wenn ein Zugriffsschlüssel ohne Ihr Wissen kompromittiert wurde, wird dadurch begrenzt, für wie lange die Anmeldeinformationen zum Zugriff auf Ihre Ressourcen genutzt werden können. Informationen zum Austauschen von Zugriffsschlüsseln für IAM-Benutzer finden Sie unter Rotieren der Zugriffsschlüssel.
-
IAM-Berechtigungen überprüfen: Um die Sicherheit Ihres AWS-Kontos zu erhöhen, sollten Sie Ihre IAM-Richtlinien regelmäßig überprüfen und überwachen. Stellen Sie sicher, dass die Richtlinien dem Prinzip der geringsten Berechtigung entsprechen.
-
Automatisierung der Erstellung und Aktualisierung von IAM-Ressourcen erwägen: IAM Identity Center automatisiert viele IAM-Aufgaben, etwa die Rollen- und Richtlinienverwaltung. Alternativ können Sie mit AWS CloudFormation die Bereitstellung von IAM-Ressourcen – einschließlich Rollen und Richtlinien – automatisieren. So lässt sich die Zahl menschlicher Fehler verringern, da die Vorlagen verifiziert und ihre Versionen kontrolliert werden können.
-
IAM Roles Anywhere verwenden, um IAM-Benutzer für maschinelle Identitäten zu ersetzen: Mit IAM Roles Anywhere können Sie Rollen in Bereichen verwenden, in denen dies bisher nicht möglich war, z. B. auf On-Premises-Servern. IAM Roles Anywhere verwendet ein vertrauenswürdiges X.509-Zertifikat zur Authentifizierung gegenüber AWS und zum Erhalt temporärer Anmeldeinformationen. Mit IAM Roles Anywhere müssen Sie diese Anmeldeinformationen nicht mehr rotieren, da sie nicht mehr in Ihrer On-Premises-Umgebung gespeichert werden. Beachten Sie, dass Sie das X.509-Zertifikat beobachten und gegen Ende seiner Gültigkeitsdauer austauschen müssen.
Ressourcen
Zugehörige bewährte Methoden:
Zugehörige Dokumente:
Zugehörige Videos:
Zugehörige Beispiele: