Restreindre les privilèges administratifs - AWS Directives prescriptives

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Restreindre les privilèges administratifs

Contrôle Essential Eight Directives d’implémentation AWS ressources AWS Conseils Well-Architected
Les demandes d'accès privilégié aux systèmes et aux applications sont validées dès leur première demande. Thème 4 : Gérer les identités: Implémenter la fédération d'identités Obliger les utilisateurs humains à se fédérer avec un fournisseur d'identité pour accéder à l'aide AWS d'informations d'identification temporaires

SEC02-BP04 S’appuyer sur un fournisseur d’identité centralisé

SEC03-BP01 Définir les conditions d’accès
L'accès privilégié aux systèmes et aux applications est automatiquement désactivé au bout de 12 mois, sauf revalidation. Thème 4 : Gérer les identités: Implémenter la fédération d'identités Obliger les utilisateurs humains à se fédérer avec un fournisseur d'identité pour accéder à l'aide AWS d'informations d'identification temporaires SEC02-BP04 S’appuyer sur un fournisseur d’identité centralisé
Thème 4 : Gérer les identités: Rotation des informations d'identification

Exiger que les charges de travail utilisent des rôles IAM pour accéder AWS

Suppression automatique des rôles IAM non utilisés

Faites régulièrement pivoter les clés d'accès pour les cas d'utilisation nécessitant des informations d'identification à long terme

AWS Summit ANZ 2023 : Votre parcours vers des identifiants temporaires dans le cloud (YouTube vidéo)

 SEC02-BP05 Contrôler et effectuer régulièrement une rotation des informations d’identification
L'accès privilégié aux systèmes et aux applications est automatiquement désactivé après 45 jours d'inactivité.

Thème 4 : Gérer les identités: Implémenter la fédération d'identités

Thème 4 : Gérer les identités: Rotation des informations d'identification

Obliger les utilisateurs humains à se fédérer avec un fournisseur d'identité pour accéder à l'aide AWS d'informations d'identification temporaires

Exiger que les charges de travail utilisent des rôles IAM pour accéder AWS

Suppression automatique des rôles IAM non utilisés

Faites régulièrement pivoter les clés d'accès pour les cas d'utilisation nécessitant des informations d'identification à long terme

AWS Summit ANZ 2023 : Votre parcours vers des identifiants temporaires dans le cloud (YouTube vidéo)

SEC02-BP04 S’appuyer sur un fournisseur d’identité centralisé

SEC02-BP05 Contrôler et effectuer régulièrement une rotation des informations d’identification
L'accès privilégié aux systèmes et aux applications est limité à ce qui est nécessaire pour que les utilisateurs et les services puissent accomplir leurs tâches. Thème 4 : Gérer les identités: appliquer les autorisations du moindre privilège

Protégez vos informations d'identification d'utilisateur root et ne les utilisez pas pour les tâches quotidiennes

Utilisez IAM Access Analyzer pour générer des politiques de moindre privilège en fonction de l'activité d'accès

Vérifiez l'accès public et multicompte aux ressources avec IAM Access Analyzer

Utilisez IAM Access Analyzer pour valider vos politiques IAM pour des autorisations sécurisées et fonctionnelles

Établissez des barrières en matière d'autorisations sur plusieurs comptes

Utilisez les limites d'autorisations pour définir le maximum d'autorisations qu'une politique basée sur l'identité peut accorder

Utiliser les conditions des politiques IAM pour restreindre davantage l'accès

Vérifiez et supprimez régulièrement les utilisateurs, les rôles, les autorisations, les politiques et les informations d'identification non utilisés

Commencez avec les politiques AWS gérées et passez aux autorisations du moindre privilège

Utiliser la fonctionnalité des ensembles d'autorisations dans IAM Identity Center

SEC01-BP02 Utilisateur root et propriétés du compte sécurisé

SEC03-BP02 Accorder un accès selon le principe du moindre privilège
Les comptes privilégiés ne peuvent pas accéder à Internet, au courrier électronique et aux services Web. Voir Exemple technique : Restreindre les privilèges administratifs (site Web de l'ACSC) Envisagez de mettre en œuvre un SCP qui empêche tout VPC qui n'a pas encore accès à Internet de l'obtenir Ne s’applique pas
Les utilisateurs privilégiés utilisent des environnements d'exploitation privilégiés et non privilégiés distincts. Thème 5 : Établir un périmètre de données Mise en place d’un périmètre de données. Envisagez de mettre en œuvre des périmètres de données entre des environnements présentant différentes classifications de données, telles que OFFICIAL:SENSITIVE ouPROTECTED, ou des niveaux de risque différents, tels que le développement, les tests ou la production. SEC06-BP03 Réduire la gestion manuelle et l’accès interactif
Les environnements d'exploitation privilégiés ne sont pas virtualisés dans les environnements d'exploitation non privilégiés.
Les comptes non privilégiés ne peuvent pas se connecter à des environnements d'exploitation privilégiés.
Les comptes privilégiés (à l'exception des comptes d'administrateur local) ne peuvent pas se connecter à des environnements d'exploitation non privilégiés.
Just-in-time l'administration est utilisée pour administrer les systèmes et les applications. Thème 4 : Gérer les identités: Implémenter la fédération d'identités

Obliger les utilisateurs humains à se fédérer avec un fournisseur d'identité pour accéder à l'aide AWS d'informations d'identification temporaires

Implémentez un accès élevé temporaire à vos AWS environnements (article de AWS blog)

 SEC02-BP04 S’appuyer sur un fournisseur d’identité centralisé
Les activités administratives sont menées par le biais de serveurs de démarrage.

Thème 1 : Utiliser les services gérés

Thème 3 : Gérer une infrastructure mutable grâce à l'automatisation: Utiliser l'automatisation plutôt que les processus manuels

Utiliser le gestionnaire de session ou exécuter une commande au lieu d'un accès SSH ou RDP direct

SEC01-BP05 Réduire le périmètre de gestion de la sécurité

SEC06-BP03 Réduire la gestion manuelle et l’accès interactif
Les informations d'identification des comptes d'administrateurs locaux et des comptes de service sont uniques, imprévisibles et gérées. Voir Exemple technique : Restreindre les privilèges administratifs (site Web de l'ACSC) Ne s’applique pas Ne s’applique pas
Windows Defender Credential Guard and Windows Defender Remote Credential Guard sont activés.
L'utilisation de l'accès privilégié est enregistrée de manière centralisée et protégée contre les modifications et suppressions non autorisées, surveillée pour détecter tout signe de compromission et prise en compte lorsque des événements de cybersécurité sont détectés.

Thème 7 : Centralisation de la journalisation et de la surveillance: Activer la journalisation

Thème 7 : Centralisation de la journalisation et de la surveillance: Centralisez les journaux

Utiliser l' CloudWatch agent pour publier les journaux au niveau du système d'exploitation dans Logs CloudWatch

Activez CloudTrail pour votre organisation

Centraliser les CloudWatch journaux dans un compte à des fins d'audit et d'analyse (article de AWS blog)

Centralisez la gestion d'Amazon Inspector

Gestion centralisée de Security Hub

Création d'un agrégateur à l'échelle de l'organisation dans AWS Config(article de blog)AWS

Centralisez la gestion de GuardDuty

Envisagez d'utiliser Amazon Security Lake

Recevoir CloudTrail les journaux de plusieurs comptes

Envoyer des journaux vers un compte d'archivage de journaux

SEC04-BP01 Configurer une journalisation de service et d’application

SEC04-BP02 Capturez les journaux, les résultats et les mesures dans des emplacements standardisés
Les modifications apportées aux comptes et aux groupes privilégiés sont enregistrées de manière centralisée et protégées contre toute modification ou suppression non autorisées, surveillées pour détecter tout signe de compromission et prises en compte lorsque des événements de cybersécurité sont détectés.