SEC02-BP05 Audite y rote las credenciales periódicamente

Audite y rote las credenciales periódicamente para limitar el tiempo que pueden utilizarse para acceder a los recursos. Las credenciales de larga duración entrañan muchos riesgos, pero estos riesgos pueden reducirse con una rotación frecuente.

Resultado deseado: implemente la rotación de credenciales para ayudar a reducir los riesgos asociados al uso de credenciales a largo plazo. Audita regularmente y corrige la no conformidad con las políticas de rotación de credenciales.

Patrones comunes de uso no recomendados:

• No auditar el uso de credenciales.

• Utilizar credenciales de larga duración de forma innecesaria.

• Utilizar credenciales de larga duración y no rotarlas regularmente.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto

Guía para la implementación

Cuando no pueda confiar en credenciales temporales y necesite credenciales a largo plazo, audite las credenciales para comprobar que los controles definidos, como la autenticación multifactorial (MFA), se apliquen, se roten periódicamente y tengan el nivel de acceso adecuado.

Es necesario llevar a cabo una validación periódica, preferiblemente mediante una herramienta automatizada, para verificar que se están aplicando los controles correctos. En el caso de las identidades humanas, debe exigir a los usuarios que cambien sus contraseñas periódicamente y retirar las claves de acceso para sustituirlas por credenciales temporales. A medida que pase de AWS Identity and Access Management (IAM) usuarios a identidades centralizadas, podrá generar un informe de credenciales para auditar a sus usuarios.

También le recomendamos que aplique y supervise MFA en su proveedor de identidades. Puede configurar Reglas de AWS Configo usar estándares de AWS Security Hub seguridad para controlar si los usuarios lo han configuradoMFA. Considere la posibilidad de utilizar IAM Roles Anywhere para proporcionar credenciales temporales para las identidades de las máquinas. En situaciones en las que no es posible utilizar IAM roles y credenciales temporales, es necesario realizar auditorías frecuentes y rotar las claves de acceso.

Pasos para la implementación

• Audite periódicamente las credenciales: audite las identidades configuradas en su proveedor de identidades y IAM ayude a comprobar que solo las identidades autorizadas tienen acceso a su carga de trabajo. Estas identidades pueden incluir, entre otras, IAM usuarios, AWS IAM Identity Center usuarios de Active Directory o usuarios de un proveedor de identidades anterior diferente. Por ejemplo, elimine las personas que abandonen la organización y los roles entre cuentas que ya no sean necesarios. Establezca un proceso para auditar periódicamente los permisos de los servicios a los que accede una IAM entidad. Esto le ayudará a identificar las políticas que debe modificar para eliminar los permisos que no se utilizan. Utilice los informes de credenciales y AWS Identity and Access Management Access Analyzeraudite las IAM credenciales y los permisos. Puede usar Amazon CloudWatch para configurar alarmas para API llamadas específicas que se realicen dentro de su AWS entorno. Amazon también GuardDuty puede avisarte de una actividad inesperada, que podría indicar un acceso demasiado permisivo o no intencionado a las credenciales. IAM

• Cambia las credenciales con regularidad: si no puedes usar credenciales temporales, cambia las claves de IAM acceso a largo plazo con regularidad (como máximo cada 90 días). Si se revela una clave de acceso de forma involuntaria sin su conocimiento, esto limita el tiempo durante el que se pueden utilizar las credenciales para acceder a los recursos. Para obtener información sobre la rotación de las claves de acceso para IAM los usuarios, consulte Rotación de las claves de acceso.

• Revise IAM los permisos: para mejorar la seguridad de sus políticas Cuenta de AWS, revise y supervise periódicamente cada una de sus IAM políticas. Verifique que las políticas sigan el principio del privilegio mínimo.

• Considere la posibilidad de automatizar la creación y las actualizaciones de IAM recursos: IAM Identity Center automatiza muchas IAM tareas, como la administración de roles y políticas. Como alternativa, se AWS CloudFormation puede utilizar para automatizar el despliegue de IAM recursos, incluidas las funciones y las políticas, a fin de reducir la posibilidad de errores humanos, ya que las plantillas se pueden verificar y controlar las versiones.

• Usa IAM Roles Anywhere para sustituir a IAM los usuarios por identidades de máquinas: IAM Roles Anywhere te permite usar roles en áreas que antes no podías utilizar, como los servidores locales. IAMRoles Anywhere utiliza un certificado X.509 de confianza para autenticarse AWS y recibir credenciales temporales. El uso de IAM Roles Anywhere evita la necesidad de rotar estas credenciales, ya que las credenciales de larga duración ya no se almacenan en el entorno local. Tenga en cuenta que deberá supervisar y rotar el certificado X.509 a medida que se acerque su fecha de vencimiento.

Recursos

Prácticas recomendadas relacionadas:

• SEC02-BP02 Usa credenciales temporales

• SEC02-BP03 Almacene y use secretos de forma segura

Documentos relacionados:

• Cómo empezar con AWS Secrets Manager

• IAMMejores prácticas

• Federación y proveedores de identidades

• Soluciones de socios de seguridad: acceso y control de acceso

• Credenciales de seguridad temporales

• Obtener informes de credenciales para su Cuenta de AWS

Videos relacionados:

• Best Practices for Managing, Retrieving, and Rotating Secrets at Scale

• Gestione los permisos de los usuarios a gran escala con AWS IAM Identity Center

• Mastering identity at every layer of the cake

Ejemplos relacionados:

• Well-Architected Lab: limpieza automática de usuarios IAM

• Well-Architected Lab: despliegue IAM automatizado de grupos y funciones