SEC03-BP07 Analice el acceso público y multicuenta

Supervise continuamente los resultados que pongan en relieve el acceso público y entre cuentas. Reduzca el acceso público y el acceso entre cuentas solo a los recursos que requieran este tipo de acceso.

Resultado deseado: sepa cuáles de sus AWS recursos se comparten y con quién. Supervise y audite continuamente sus recursos compartidos para verificar que solo se compartan con las entidades principales autorizadas.

Patrones comunes de uso no recomendados:

• No mantener un inventario de los recursos compartidos.

• No seguir un proceso para aprobar el acceso público o entre cuentas a los recursos.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: bajo

Guía para la implementación

Si tu cuenta está activa AWS Organizations, puedes conceder acceso a los recursos a toda la organización, a unidades organizativas específicas o a cuentas individuales. Si su cuenta no es miembro de una organización, puede compartir recursos con cuentas individuales. Puede conceder acceso directo a varias cuentas mediante políticas basadas en recursos (por ejemplo, las políticas de bucket de Amazon Simple Storage Service (Amazon S3), o permitiendo que el principal de otra cuenta asuma un rol en la suya. IAM Cuando utilice políticas de recursos, compruebe que solo se concede acceso a las entidades principales autorizadas. Defina un proceso para aprobar todos los recursos que deban estar disponibles públicamente.

AWS Identity and Access Management Access Analyzer usa la seguridad comprobable para identificar todas las rutas de acceso a un recurso desde fuera de su cuenta. Revisa continuamente las políticas de recursos e informa de los resultados del acceso público y entre cuentas para facilitarle el análisis de un acceso potencialmente amplio. Considere la posibilidad de configurar IAM Access Analyzer AWS Organizations para comprobar que tiene visibilidad en todas sus cuentas. IAMAccess Analyzer también le permite obtener una vista previa de los resultados antes de implementar los permisos de recursos. Esto le permite validar que sus cambios de política conceden solo el acceso público y entre cuentas previsto a sus recursos. Al diseñar el acceso a varias cuentas, puede utilizar políticas de confianza para controlar en qué casos se puede asumir un rol. Por ejemplo, puede usar la clave de condición PrincipalOrgId para denegar un intento de asumir un rol desde fuera de AWS Organizations.

AWS Config puede informar sobre los recursos que están mal configurados y, mediante comprobaciones AWS Config de políticas, puede detectar los recursos que tienen configurado el acceso público. Algunos servicios, como el despliegue de controles de AWS Security Hubdetección AWS Control Towery barandillas, simplifican el despliegue de controles de detección y barreras AWS Organizations para identificar y remediar los recursos expuestos al público. Por ejemplo, AWS Control Tower tiene una barandilla gestionada que puede detectar si alguna EBSinstantánea de Amazon se puede restaurar con ella. Cuentas de AWS

Pasos para la implementación

• Considere utilizarla AWS Config para AWS Organizations: AWS Config le permite agregar los resultados de varias cuentas dentro de una cuenta de administrador AWS Organizations delegado. Esto proporciona una visión completa y le permite realizar despliegues Reglas de AWS Config en todas las cuentas para detectar los recursos de acceso público.

• Configure AWS Identity and Access Management Access Analyzer IAM Access Analyzer lo ayuda a identificar los recursos de su organización y sus cuentas, como los buckets de Amazon S3 o las IAM funciones que se comparten con una entidad externa.

• Utilice la corrección automática AWS Config para responder a los cambios en la configuración de acceso público de los buckets de Amazon S3: puede activar automáticamente la configuración de bloqueo de acceso público para los buckets de Amazon S3.

• Implementación de la supervisión y las alertas para identificar si los buckets de Amazon S3 se han convertido en públicos: debe disponer de supervisión y alertas para identificar cuándo está desactivado el bloqueo de acceso público de Amazon S3 y si los buckets de Amazon S3 pasan a ser públicos. Además, si lo utiliza AWS Organizations, puede crear una política de control de servicios que impida cambios en las políticas de acceso público de Amazon S3. AWS Trusted Advisor comprueba si los buckets de Amazon S3 tienen permisos de acceso abierto. Los permisos del bucket que otorgan, suben o eliminan el acceso para todo el mundo crean posibles vulnerabilidades de seguridad, ya que permiten que cualquiera agregue, modifique o elimine elementos en un bucket. La Trusted Advisor comprobación examina los permisos de bucket explícitos y las políticas de bucket asociadas que podrían anular los permisos de bucket. También puede utilizarlos AWS Config para monitorizar sus buckets de Amazon S3 para el acceso público. Para obtener más información, consulte Cómo utilizar para monitorear y responder AWS Config a los buckets de Amazon S3 que permiten el acceso público. Al revisar el acceso, es importante tener en cuenta los tipos de datos que contienen los buckets de Amazon S3. Amazon Macie ayuda a descubrir y proteger datos confidenciales, comoPII, y credencialesPHI, como claves privadas o AWS claves.

Recursos

Documentos relacionados:

• Uso de AWS Identity and Access Management Access Analyzer

• AWS Control Tower biblioteca de controles

• AWS Estándar fundamental de mejores prácticas de seguridad

• Reglas de AWS Config administradas

• AWS Trusted Advisor check reference

• Supervisión de los resultados de los AWS Trusted Advisor controles con Amazon EventBridge

• Administra AWS Config las reglas en todas las cuentas de tu organización

• AWS Config y AWS Organizations

• Haz que tus AMI datos estén disponibles públicamente para su uso en Amazon EC2

Videos relacionados:

• Best Practices for securing your multi-account environment

• Sumérjase en IAM Access Analyzer