SEC08-BP04 Aplicación del control de acceso

Para ayudarlo a proteger sus datos en reposo, aplique el control de acceso mediante mecanismos como el aislamiento y el control de versiones, y utilice el principio del privilegio mínimo. Impida que se conceda acceso público a sus datos.

Resultado deseado: verifique que solo los usuarios autorizados puedan acceder a los datos en función de su necesidad de utilizarlos. Proteja sus datos con copias de seguridad periódicas y el control de versiones para evitar que se modifiquen o eliminen de forma intencionada o involuntaria. Aísle los datos críticos de otros datos para proteger su confidencialidad e integridad.

Patrones comunes de uso no recomendados:

• Almacenar juntos datos con diferentes requisitos de confidencialidad o clasificación.

• Utilizar permisos demasiado permisivos en las claves de descifrado.

• Clasificar incorrectamente los datos.

• No conservar copias de seguridad detalladas de los datos importantes.

• Proporcionar acceso persistente a los datos de producción.

• No auditar el acceso a los datos ni revisar periódicamente los permisos.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: bajo

Guía para la implementación

Hay muchos controles que pueden ayudar a proteger sus datos en reposo, como el control de acceso (con el privilegio mínimo), el aislamiento y el control de versiones. El acceso a sus datos debe auditarse utilizando mecanismos de detección, como AWS CloudTrail, y registros de nivel de servicio, como los registros de acceso de Amazon Simple Storage Service (Amazon S3). Debe hacer un inventario de los datos a los que se puede acceder públicamente y crear un plan para reducir la cantidad de datos disponibles públicamente a lo largo del tiempo.

El bloqueo de almacenes de Amazon S3 Glacier y el bloqueo de objetos de Amazon S3 proporcionan un control de acceso obligatorio para los objetos de Amazon S3: una vez bloqueada una política de almacenes con la opción de conformidad, ni siquiera el usuario raíz puede cambiarla hasta que venza el bloqueo.

Pasos para la implementación

• Aplicación del control de acceso: aplique el control de acceso con privilegios mínimos, incluido el acceso a las claves de cifrado.

• Separación de los datos en función de diferentes niveles de clasificación: utilice diferentes Cuentas de AWS para los niveles de clasificación de los datos y administre dichas cuentas mediante AWS Organizations.

• Revisión de las políticas de AWS Key Management Service (AWS KMS): revise el nivel de acceso concedido en las políticas de AWS KMS.

• Revisión de los permisos de los objetos y buckets de Amazon S3: revise periódicamente el nivel de acceso otorgado por las políticas de buckets de S3. La práctica recomendada es evitar el uso de buckets de lectura o escritura pública. Plantéese utilizar AWS Config para detectar buckets que están disponibles al público y Amazon CloudFront para ofrecer contenido de Amazon S3. Verifique que los buckets que no deben permitir el acceso público estén configurados correctamente para impedirlo. De manera predeterminada, todos los buckets de S3 son privados y solo permiten el acceso a los usuarios que cuentan con una autorización explícita.

• Uso del Analizador de acceso de AWS IAM: el Analizador de acceso de IAM analiza los buckets de Amazon S3 y genera un resultado cuando una política de S3 concede acceso a una entidad externa.

• Uso del control de versiones de Amazon S3 y el bloqueo de objetos cuando corresponda.

• Uso del inventario de Amazon S3: el inventario de Amazon S3 puede utilizarse para auditar e informar sobre el estado de replicación y cifrado de sus objetos de S3.

• Revisión de los permisos de uso compartido de Amazon EBS y AMI compartidas: los permisos de uso compartido pueden permitir que las imágenes y los volúmenes se compartan con Cuentas de AWS externas a su carga de trabajo.

• Revisión periódica de los recursos compartidos de AWS Resource Access Manager para determinar si los recursos deben seguir compartiéndose. Resource Access Manager le permite compartir recursos, como las políticas de AWS Network Firewall, las reglas de Amazon Route 53 Resolver y las subredes, dentro de sus Amazon VPC. Audite periódicamente los recursos compartidos y deje de compartir los recursos que ya no sea necesario.

Recursos

Prácticas recomendadas relacionadas:

• SEC03-BP01 Definición de los requisitos de acceso

• SEC03-BP02 Concesión de acceso con privilegios mínimos

Documentos relacionados:

• AWS KMS Cryptographic Details Whitepaper

• Introducción a la administración de permisos de acceso para los recursos de Amazon S3

• Overview of managing access to your AWS KMS resources

• Reglas de AWS Config

• Amazon S3 + Amazon CloudFront: A Match Made in the Cloud

• Usar el control de versiones en buckets de S3

• Usar Bloqueo de objetos de Amazon S3

• Sharing an Amazon EBS Snapshot

• AMI compartidas

• Hosting a single-page application on Amazon S3

Videos relacionados:

• Securing Your Block Storage on AWS