SEC03-BP08 Comparta los recursos de forma segura dentro de su organización

A medida que el número de cargas de trabajo va aumentando, es posible que necesite compartir el acceso a los recursos de esas cargas de trabajo o aprovisionar los recursos varias veces entre varias cuentas. Es posible que disponga de constructos para compartimentar el entorno, como, por ejemplo, entornos de desarrollo, pruebas y producción. Sin embargo, disponer de constructos de separación no le impide compartir de forma segura. Al compartir componentes que se solapan, puede reducir la sobrecarga operativa y conseguir una experiencia uniforme sin tener que adivinar qué podría haber pasado por alto al crear el mismo recurso varias veces.

Resultado deseado: minimice el acceso no deseado mediante el uso de métodos seguros para compartir los recursos dentro de su organización y ayudar con su iniciativa de prevención de la pérdida de datos. Reduzca la sobrecarga operativa en comparación con la administración de componentes individuales, reduzca los errores derivados de la creación manual del mismo componente varias veces y aumentar la escalabilidad de las cargas de trabajo. Puede disminuir el tiempo de resolución en situaciones con varios puntos de fallo y aumentar su confianza a la hora de determinar cuándo un componente ya no es necesario. Para obtener una guía prescriptiva sobre el análisis de los recursos compartidos externamente, consulte SEC03-BP07 Analice el acceso público y multicuenta.

Patrones comunes de uso no recomendados:

• Falta de un proceso para supervisar continuamente y alertar automáticamente sobre un uso compartido externo inesperado.

• Falta de una referencia sobre lo que se debe compartir y lo que no.

• Adoptar de manera predeterminada una política muy abierta en lugar de compartir explícitamente cuando es necesario.

• Crear manualmente recursos fundamentales que se solapan cuando es necesario.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación

Diseñe sus controles y patrones de acceso para que rijan el consumo de recursos compartidos de forma segura y solo con entidades de confianza. Supervise los recursos compartidos y revise el acceso a ellos de forma continua; además, reciba alertas sobre un uso compartido inapropiado o inesperado. Revise Analizar el acceso público y entre cuentas para que le sirva de ayuda para establecer una gobernanza que reduzca el acceso externo únicamente a los recursos que lo requieran, y para establecer un proceso de monitoreo continuo y alertas automáticas.

Varios AWS servicios admiten AWS Organizations el uso compartido entre cuentas AWS Security Hub, como Amazon GuardDuty y AWS Backup. Estos servicios permiten compartir datos con una cuenta central, acceder a ellos desde una cuenta central o administrar recursos y datos desde una cuenta central. Por ejemplo, AWS Security Hub puede transferir los hallazgos de cuentas individuales a una cuenta central donde puede ver todos los hallazgos. AWS Backup puede hacer una copia de seguridad de un recurso y compartirla entre cuentas. Puedes usar AWS Resource Access Manager(AWS RAM) para compartir otros recursos comunes, como VPCsubredes y archivos adjuntos de Transit Gateway AWS Network Firewall, o SageMaker canalizaciones de Amazon.

Para restringir su cuenta a compartir únicamente los recursos de su organización, utilice las políticas de control de servicios (SCPs) para impedir el acceso a entidades externas. Al compartir recursos, combine los controles basados en la identidad y los controles de red para crear un perímetro de datos para su organización que ofrezca protección frente al acceso no deseado. Un perímetro de datos es un conjunto de barreras de protección preventivas para ayudar a verificar que solo sus identidades de confianza accedan a los recursos de confianza desde las redes previstas. Estos controles ponen límites apropiados a los recursos que se pueden compartir y evitan que se compartan o expongan recursos que no deberían permitirse. Por ejemplo, como parte de su perímetro de datos, puede utilizar las políticas de VPC puntos finales y la AWS:PrincipalOrgId condición para garantizar que las identidades que acceden a sus buckets de Amazon S3 pertenezcan a su organización. Es importante tener en cuenta que SCPsno se aplican a funciones o AWS directores de servicio vinculados al servicio.

Cuando utilice Amazon S3, desactive el ACLs bucket de Amazon S3 y utilice IAM políticas para definir el control de acceso. Para restringir el acceso a un origen de Amazon S3 desde Amazon CloudFront, migre de la identidad de acceso de origen (OAI) al control de acceso de origen (OAC), que admite funciones adicionales, como el cifrado del lado del servidor con. AWS Key Management Service

En algunos casos, es posible que desee permitir compartir recursos fuera de su organización o conceder a un tercero acceso a sus recursos. Para obtener una guía prescriptiva sobre la administración de permisos para compartir recursos de forma externa, consulte Administración de permisos.

Pasos para la implementación

1. Uso. AWS Organizations

   AWS Organizations es un servicio de administración de cuentas que le permite consolidar múltiples cuentas Cuentas de AWS en una organización que usted crea y administra de forma centralizada. Puede agrupar sus cuentas en unidades organizativas (OUs) y adjuntar políticas diferentes a cada unidad organizativa para satisfacer sus necesidades presupuestarias, de seguridad y de conformidad. También puede controlar la forma en que los servicios de inteligencia AWS artificial (IA) y aprendizaje automático (ML) pueden recopilar y almacenar datos, y utilizar la gestión multicuenta de los AWS servicios integrados con Organizations.

2. Intégrelo AWS Organizations con AWS los servicios.

   Cuando utilizas un AWS servicio para realizar tareas en tu nombre en las cuentas de los miembros de tu organización, AWS Organizations crea un rol IAM vinculado al servicio (SLR) para ese servicio en cada cuenta de miembro. Debe administrar el acceso confiable mediante AWS Management Console, el o el AWS APIs. AWS CLI Para obtener instrucciones prescriptivas sobre cómo activar el acceso de confianza, consulte Uso AWS Organizations con otros AWS servicios y AWS servicios que puede usar con Organizations.

3. Establezca un perímetro de datos.

   Por lo general, el AWS perímetro se representa como una organización gestionada por AWS Organizations. Junto con las redes y los sistemas locales, el acceso a AWS los recursos es lo que muchos consideran el perímetro de My AWS. El objetivo del perímetro es verificar que se permite el acceso si la identidad es de confianza, el recurso es de confianza y la red es la que se espera.

   1. Defina e implemente los perímetros.

      Siga los pasos descritos en el documento técnico Construir un perímetro para cada condición de autorización, en el AWS documento técnico Construir un perímetro. Para obtener instrucciones prescriptivas sobre la protección de la capa de red, consulte Protección de redes.

   2. Supervise y alerte continuamente.

      AWS Identity and Access Management Access Analyzer le ayuda a identificar los recursos de su organización y sus cuentas que se comparten con entidades externas. Puede integrar IAMAccess Analyzer AWS Security Hub para enviar y agregar las conclusiones de un recurso, desde IAM Access Analyzer hasta Security Hub, a fin de ayudar a analizar la postura de seguridad de su entorno. Para la integración, activa IAM Access Analyzer y Security Hub en cada región de cada cuenta. También puedes usarlo Reglas de AWS Config para auditar la configuración y alertar a la parte correspondiente que lo utilice AWS Chatbot . AWS Security Hub A continuación, puede utilizar los documentos de automatización de AWS Systems Manager para corregir los recursos que no cumplan con las normas.

   3. Para obtener instrucciones prescriptivas sobre la supervisión y las alertas continuas sobre los recursos compartidos externamente, consulte Análisis del acceso público y entre cuentas.

4. Utilice el uso compartido de recursos en AWS los servicios y restrínjalo en consecuencia.

   Muchos AWS servicios te permiten compartir recursos con otra cuenta o segmentar un recurso de otra cuenta, como Amazon Machine Images (AMIs) y AWS Resource Access Manager (AWS RAM). Restrinja ModifyImageAttribute API para especificar las cuentas de confianza AMI con las que desea compartirlas. Especifique la ram:RequestedAllowsExternalPrincipals condición cuando se utilice AWS RAM para restringir el uso compartido únicamente a su organización, a fin de evitar el acceso desde identidades que no sean de confianza. Para obtener consideraciones e instrucciones prescriptivas, consulte Uso compartido de recursos y objetivos externos.

5. Se usa AWS RAM para compartir de forma segura en una cuenta o con otras personas. Cuentas de AWS

   AWS RAM le ayuda a compartir de forma segura los recursos que ha creado con roles y usuarios de su cuenta y con otras Cuentas de AWS. En un entorno con varias cuentas, AWS RAM le permite crear un recurso una vez y compartirlo con otras cuentas. Este enfoque ayuda a reducir los gastos operativos y, al mismo tiempo, proporciona coherencia, visibilidad y capacidad de auditoría mediante las integraciones con Amazon CloudWatch y AWS CloudTrail, que no se obtienen cuando se utiliza el acceso entre cuentas.

   Si tiene recursos que ha compartido anteriormente mediante una política basada en recursos, puede utilizar esa política PromoteResourceShareCreatedFromPolicyAPIo una equivalente para convertir el recurso compartido en uno completo. AWS RAM

   En algunos casos, puede que tenga que dar pasos adicionales para compartir recursos. Por ejemplo, para compartir una instantánea cifrada, debe compartir una AWS KMS clave.

Recursos

Prácticas recomendadas relacionadas:

• SEC03-BP07 Analice el acceso público y multicuenta

• SEC03-BP09 Comparta recursos de forma segura con un tercero

• SEC05-BP01 Crear capas de red

Documentos relacionados:

• Propietario de bucket que concede permisos entre cuentas para objetos que no le pertenecen

• Cómo utilizar las políticas de confianza con IAM

• Construir Data Perimeter sobre AWS

• Cómo utilizar un identificador externo para conceder a un tercero el acceso a tus AWS recursos

• AWS servicios que puedes usar con AWS Organizations

• Establecer un perímetro de datos en AWS: permitir que solo las identidades confiables accedan a los datos de la empresa

Videos relacionados:

• Granular Access with AWS Resource Access Manager

• Proteja su perímetro de datos con puntos VPC finales

• Establecer un perímetro de datos en AWS

Herramientas relacionadas:

• Data Perimeter Policy Examples