SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs

Überwachen Sie kontinuierlich Ergebnisse, die den öffentlichen und kontoübergreifenden Zugriff betreffen. Beschränken Sie den öffentlichen und kontoübergreifenden Zugriff ausschließlich auf Ressourcen, die diese Art von Zugriff benötigen.

Gewünschtes Ergebnis: Sie wissen, welche Ihrer AWS-Ressourcen für welche Benutzer freigegeben sind. Überwachen und prüfen Sie kontinuierlich Ihre freigegebenen Ressourcen, um sicherzustellen, dass sie nur für autorisierte Prinzipale freigegeben sind.

Typische Anti-Muster:

• Fehlendes Inventar gemeinsam genutzter Ressourcen

• Nichtbefolgung eines Prozesses zur Genehmigung von kontoübergreifendem oder öffentlichem Zugriff auf Ressourcen

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Niedrig

Implementierungsleitfaden

Wenn sich Ihr Konto in AWS Organizations befindet, können Sie den Zugriff auf Ressourcen der gesamten Organisation, bestimmten Organisationseinheiten oder einzelnen Konten gewähren. Wenn Ihr Konto nicht zu einer Organisation gehört, können Sie Ressourcen für einzelne Konten freigeben. Sie können direkten kontoübergreifenden Zugriff gewähren, indem Sie ressourcenbasierte Richtlinien verwenden (z. B. die Richtlinien für Amazon Simple Storage Service (Amazon S3)-Buckets) oder indem Sie einem Prinzipal in einem anderen Konto erlauben, eine IAM-Rolle in Ihrem Konto zu übernehmen. Verifizieren Sie bei der Verwendung von Ressourcenrichtlinien, dass der Zugriff nur autorisierten Prinzipalen gewährt wird. Definieren Sie einen Prozess für die Genehmigung aller Ressourcen, die öffentlich verfügbar sein müssen.

AWS Identity and Access Management Access Analyzer nutzt nachweisbare Sicherheit, um alle Zugriffspfade zu einer Ressource von außerhalb ihres Kontos zu identifizieren. Es überprüft Ressourcenrichtlinien kontinuierlich und meldet Ergebnisse des öffentlichen und kontoübergreifenden Zugriffs, um Ihnen die Analyse potenziell umfassender Zugriffe zu erleichtern. Ziehen Sie die Konfiguration von IAM Access Analyzer mit AWS Organizations in Betracht, um Transparenz für alle Ihre Konten zu gewährleisten. Mit IAM Access Analyzer können Sie zudem eine Vorschau der Ergebnisse anzeigen, bevor Sie Ressourcenberechtigungen bereitstellen. So können Sie sicherstellen, dass mit den Richtlinienänderungen nur der beabsichtigte öffentliche und kontoübergreifende Zugriff auf Ihre Ressourcen gewährt wird. Wenn Sie den Zugriff auf mehrere Konten planen, können Sie mithilfe von Vertrauensrichtlinien steuern, in welchen Fällen eine Rolle übernommen werden kann. Sie könnten beispielsweise den PrincipalOrgId-Bedingungsschlüssel verwenden, um Versuche, eine Rolle von außerhalb Ihres AWS Organizations zu übernehmen, abzulehnen.

AWS Config kann falsch konfigurierte Ressourcen melden und mithilfe von AWS Config-Richtlinienprüfungen Ressourcen erkennen, für die ein öffentlicher Zugriff konfiguriert ist. Services wie AWS Control Tower und AWS Security Hub vereinfachen die Bereitstellung von detektivischen Kontrollen und Integritätsschutz über AWS Organizations hinweg, um öffentlich zugängliche Ressourcen zu identifizieren und zu korrigieren. AWS Control Tower hat beispielsweise einen verwalteten Integritätsschutz, der erkennen kann, ob Amazon-EBS-Snapshots von AWS-Konten wiederhergestellt werden können.

Implementierungsschritte

• Die Verwendung von AWS Config für AWS Organizations erwägen: Mit AWS Config können Sie die Ergebnisse mehrerer Konten in einem AWS Organizations in einem delegierten Administratorkonto zusammenfassen. Dies bietet einen umfassenden Überblick und ermöglicht die kontoübergreifende Bereitstellung von AWS-Config-Regeln, um öffentlich zugängliche Ressourcen zu erkennen.

• AWS Identity and Access Management Access Analyzer konfigurieren: IAM Access Analyzer hilft Ihnen, die Ressourcen in Ihrer Organisation und in Ihren Konten zu identifizieren, die für eine externe Entität freigegeben wurden, z. B. Amazon S3-Buckets oder IAM-Rollen.

• Automatische Abhilfemaßnahmen in AWS Config verwenden, um auf Änderungen an der Konfiguration des öffentlichen Zugriffs von Amazon S3-Buckets zu reagieren: Sie können die Einstellungen zum Blockieren des öffentlichen Zugriffs für Amazon S3-Buckets automatisch aktivieren.

• Überwachung und Warnmeldungen implementieren, um festzustellen, ob Amazon S3-Buckets öffentlich geworden sind: Überwachung und Warnmeldungen müssen aktiviert sein, damit erkannt werden kann, wenn Amazon S3 Block Public Access deaktiviert wird und ob Amazon S3-Buckets öffentlich geworden sind. Wenn Sie AWS Organizations verwenden, können Sie außerdem eine Service-Kontrollrichtlinie erstellen, die Änderungen an den Amazon S3-Richtlinien für den öffentlichen Zugriff verhindert. AWS Trusted Advisor sucht nach Amazon S3-Buckets mit offenen Zugriffsberechtigungen. Bucket-Berechtigungen, die allen Benutzern den Zugriff zum Hochladen/Löschen einräumen, bergen ein hohes Potenzial für Sicherheitsrisiken, da alle Personen Elemente in einem Bucket hinzufügen, ändern oder löschen können. Bei der Prüfung durch Trust Advisor werden explizite Bucket-Berechtigungen und zugeordnete Bucket-Richtlinien geprüft, die die Bucket-Berechtigungen möglicherweise überschreiben. Sie können auch mit AWS Config Ihre Amazon S3-Buckets für den öffentlichen Zugriff überwachen. Weitere Informationen finden Sie unter How AWS Config to Monitor for and Respond to Amazon S3 Buckets Allowing Public Access.

Bei der Überprüfung der Zugriffskontrollen für Amazon-S3-Buckets ist es wichtig, die Art der darin gespeicherten Daten zu berücksichtigen. Amazon Macie ist ein Service, mit dem Sie sensible Daten wie persönlich identifizierbare Informationen (PII), geschützte Gesundheitsinformationen (PHI, Protected Health Information) und Anmeldeinformationen wie private Schlüssel oder AWS-Zugriffsschlüssel entdecken und schützen können.

Ressourcen

Zugehörige Dokumente:

• Verwenden von AWS Identity and Access Management Access Analyzer

• Bibliothek von AWS Control Tower-Kontrollen

• AWS Foundational Security Best Practices-Standard

• Von AWS Config verwaltete Regeln

• AWS Trusted Advisor-Referenz prüfen

• Überwachen von AWS Trusted Advisor-Prüfungsergebnissen mit Amazon EventBridge

• Verwalten von AWS Config-Regeln für alle Konten in Ihrer Organisation

• AWS Config und AWS Organizations

• Ihr AMI für die Verwendung in Amazon EC2 öffentlich verfügbar machen

Zugehörige Videos:

• Bewährte Methoden für den Schutz Ihrer Mehrkonten-Umgebung

• Tiefer Einblick in IAM Access Analyzer