Corriger les risques pour les utilisateurs IAM

AWS Security Hub peut générer des résultats d'exposition pour les utilisateurs AWS Identity and Access Management (IAM).

Sur la console Security Hub, l'utilisateur IAM impliqué dans la découverte d'une exposition et ses informations d'identification sont répertoriés dans la section Ressources des détails de la recherche. Par programmation, vous pouvez récupérer les détails des ressources grâce au GetFindingsV2fonctionnement de l'API Security Hub.

Après avoir identifié la ressource impliquée dans un constat d'exposition, vous pouvez supprimer la ressource si vous n'en avez pas besoin. La suppression d'une ressource non essentielle peut réduire votre profil d'exposition et vos AWS coûts. Si la ressource est essentielle, suivez ces étapes de correction recommandées pour atténuer le risque. Les sujets de remédiation sont divisés en fonction du type de trait.

Un seul résultat d'exposition contient des problèmes identifiés dans plusieurs rubriques de remédiation. À l'inverse, vous pouvez corriger une constatation d'exposition et en réduire le niveau de gravité en abordant un seul sujet de remédiation. Votre approche en matière de remédiation des risques dépend des exigences et des charges de travail de votre organisation.

Note

Les conseils de remédiation fournis dans cette rubrique peuvent nécessiter des consultations supplémentaires dans d'autres AWS ressources.

Les meilleures pratiques IAM recommandent de créer des rôles IAM ou d'utiliser la fédération avec un fournisseur d'identité pour accéder à l' AWS aide d'informations d'identification temporaires au lieu de créer des utilisateurs IAM individuels. Si cette option est adaptée à votre organisation et à votre cas d'utilisation, nous vous recommandons de passer aux rôles ou à la fédération au lieu d'utiliser des utilisateurs IAM. Pour plus d’informations, consultez la section IAM users (Utilisateurs IAM) dans le IAM User Guide (Guide de l’utilisateur IAM).

Table des matières

• Caractéristiques de mauvaise configuration pour les utilisateurs IAM

  • L'utilisateur IAM dispose d'une politique d'accès administratif

  • L'utilisateur IAM n'a pas activé le MFA

  • L'utilisateur IAM dispose d'une politique d'accès administratif à un Service AWS

  • Le AWS compte de l'utilisateur IAM a des politiques de mot de passe faibles

  • L'utilisateur IAM possède des informations d'identification non utilisées

  • L'utilisateur IAM dispose de clés d'accès non rotatives

  • L'utilisateur IAM dispose d'une politique qui autorise un accès illimité au déchiffrement de la clé KMS

Caractéristiques de mauvaise configuration pour les utilisateurs IAM

Voici les caractéristiques des erreurs de configuration pour les utilisateurs IAM et les étapes de correction suggérées.

L'utilisateur IAM dispose d'une politique d'accès administratif

Les politiques IAM accordent un ensemble de privilèges aux utilisateurs IAM lorsqu'ils accèdent aux ressources. Les politiques administratives fournissent aux utilisateurs IAM des autorisations étendues sur les AWS services et les ressources. Le fait de fournir des privilèges administratifs complets, au lieu de l'ensemble minimal d'autorisations dont l'utilisateur a besoin, peut augmenter la portée d'une attaque si les informations d'identification sont compromises. Conformément aux principes de sécurité standard, il est AWS recommandé d'accorder le minimum de privilèges, ce qui signifie que vous n'accordez que les autorisations requises pour effectuer une tâche.

1. Vérifiez et identifiez les politiques administratives : dans l'ID de ressource, identifiez le nom du rôle IAM. Accédez au tableau de bord IAM et sélectionnez le rôle identifié. Passez en revue la politique d'autorisation attachée à l'utilisateur IAM. S'il s'agit d'une politique AWS gérée, recherchez AdministratorAccess ouIAMFullAccess. Sinon, dans le document de politique, recherchez les déclarations dont les instructions sont "Effect": "Allow" "Action": "*" surlignées"Resource": "*".

2. Implémenter l'accès au moindre privilège : remplacez les politiques administratives des services par celles qui accordent uniquement les autorisations spécifiques requises pour que l'utilisateur puisse fonctionner. Pour plus d'informations sur les meilleures pratiques de sécurité pour les politiques IAM, consultez la section Appliquer les autorisations de moindre privilège dans le guide de l'AWS Identity and Access Management utilisateur. Pour identifier les autorisations inutiles, vous pouvez utiliser l'analyseur d'accès IAM pour comprendre comment modifier votre politique en fonction de l'historique des accès. Pour plus d'informations, consultez la section Constatations relatives aux accès externes et non utilisés dans le Guide de AWS Identity and Access Management l'utilisateur.

3. Considérations relatives à la configuration sécurisée : si des autorisations administratives de service sont nécessaires pour l'instance, envisagez de mettre en œuvre ces contrôles de sécurité supplémentaires pour atténuer les risques :

   • Authentification multifactorielle (MFA) — L'authentification multifactorielle ajoute une couche de sécurité supplémentaire en exigeant une forme d'authentification supplémentaire. Cela permet d'empêcher tout accès non autorisé même si les informations d'identification sont compromises. Pour plus d'informations, voir Exiger une authentification multifactorielle (MFA) dans AWS Identity and Access Management le guide de l'utilisateur.

   • Conditions IAM : la configuration des éléments de condition vous permet de limiter le moment et la manière dont les autorisations administratives peuvent être utilisées en fonction de facteurs tels que l'adresse IP source ou l'âge du MFA. Pour plus d'informations, consultez la section Utiliser les conditions dans les politiques IAM pour restreindre davantage l'accès dans le Guide de l'AWS Identity and Access Management utilisateur.

   • Limites d'autorisation : les limites d'autorisation définissent le maximum d'autorisations qu'un rôle peut avoir, en fournissant des garde-fous pour les rôles dotés d'un accès administratif. Pour plus d'informations, voir Utiliser les limites d'autorisations pour déléguer la gestion des autorisations au sein d'un compte dans le Guide de AWS Identity and Access Management l'utilisateur.

L'utilisateur IAM n'a pas activé le MFA

L'authentification multi-facteurs (MFA, Multi-Factor Authentication) ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Lorsque l'authentification MFA est activée et qu'un utilisateur IAM se connecte à un AWS site Web, il est invité à saisir son nom d'utilisateur, son mot de passe et un code d'authentification sur son appareil AWS MFA. Le mandataire d'authentification doit posséder un dispositif qui émet une clé sensible au temps et connaître des informations d’identification. Sans MFA, si le mot de passe d'un utilisateur est compromis, un attaquant obtient un accès complet aux autorisations de AWS l'utilisateur. Conformément aux principes de sécurité standard, AWS recommande d'activer la MFA pour tous les comptes et utilisateurs qui y ont AWS Management Console accès.

Passez en revue les types de MFA

AWS prend en charge les types de MFA suivants :

• Clés d’accès et clés de sécurité

• Applications d’authentification virtuelle

• Jetons TOTP matériels

Bien que l'authentification à l'aide d'un appareil physique fournisse généralement une protection de sécurité plus stricte, l'utilisation de n'importe quel type de MFA est plus sûre que la désactivation de la MFA.

Activer MFA

Pour activer le type MFA adapté à vos besoins, consultez la section Authentification AWS multifactorielle dans IAM dans le guide de l'utilisateur IAM. Suivez les étapes correspondant au type de MFA spécifique que vous souhaitez implémenter. Pour les organisations qui gèrent de nombreux utilisateurs, vous souhaiterez peut-être imposer l'utilisation de l'authentification multifacteur en exigeant que cette dernière accède aux ressources sensibles.

L'utilisateur IAM dispose d'une politique d'accès administratif à un Service AWS

Les politiques d'administration des services fournissent aux utilisateurs IAM les autorisations nécessaires pour effectuer toutes les actions au sein d'un AWS service spécifique. Ces politiques incluent généralement des autorisations qui ne sont pas requises pour que les utilisateurs puissent exécuter leurs tâches. Fournir à un utilisateur IAM des privilèges d'administrateur de service, au lieu de l'ensemble minimal d'autorisations requis, augmente la portée d'une attaque si les informations d'identification sont compromises. Conformément aux principes de sécurité standard, il est AWS recommandé d'accorder le minimum de privilèges, ce qui signifie que vous n'accordez que les autorisations requises pour effectuer une tâche.

Passez en revue et identifiez les politiques d'administration des services

Dans l'ID de ressource, identifiez le nom du rôle IAM. Accédez au tableau de bord IAM et sélectionnez le rôle identifié. Passez en revue la politique d'autorisation attachée à l'utilisateur IAM. S'il s'agit d'une politique gérée par AWS, recherchez AdministratorAccess ouIAMFullAccess. Sinon, dans le document de politique, recherchez les déclarations contenant les instructions « »Effect": "Allow" with "Action": "*" over "Resource": "*".

Implémentation d’un accès sur la base du moindre privilège

Remplacez les politiques administratives des services par celles qui n'accordent que les autorisations spécifiques requises pour que l'utilisateur puisse fonctionner. Pour identifier les autorisations inutiles, vous pouvez utiliser l'analyseur d'accès IAM pour comprendre comment modifier votre politique en fonction de l'historique des accès.

Considérations relatives à la configuration sécurisée

Si des autorisations administratives de service sont nécessaires pour l'instance, envisagez de mettre en œuvre ces contrôles de sécurité supplémentaires afin de limiter l'exposition :

• La MFA ajoute une couche de sécurité supplémentaire en exigeant une forme d'authentification supplémentaire. Cela permet d'empêcher tout accès non autorisé même si les informations d'identification sont compromises.

• Utilisez des éléments de condition pour limiter le moment et la manière dont les autorisations administratives peuvent être utilisées en fonction de facteurs tels que l'adresse IP source ou l'âge du MFA.

• Utilisez des limites d'autorisation pour définir le maximum d'autorisations qu'un rôle peut avoir, en fournissant des garde-fous pour les rôles dotés d'un accès administratif.

Le AWS compte de l'utilisateur IAM a des politiques de mot de passe faibles

Les politiques de mot de passe aident à protéger contre les accès non autorisés en imposant des exigences de complexité minimale pour les mots de passe des utilisateurs IAM. En l'absence de politiques de mots de passe strictes, le risque que les comptes des utilisateurs soient compromis par le biais de devinettes de mots de passe ou d'attaques par force brute augmente. Conformément aux principes de sécurité standard, AWS recommande de mettre en œuvre une politique de mots de passe forts afin de garantir que les utilisateurs créent des mots de passe complexes et difficiles à deviner.

Configurez une politique de mots de passe forts

Accédez au tableau de bord IAM et accédez aux paramètres du compte. Passez en revue les paramètres actuels de la politique de mot de passe de votre compte, notamment la longueur minimale, les types de caractères requis et les paramètres d'expiration des mots de passe.

AWS Il recommande au minimum de suivre les meilleures pratiques suivantes lors de la définition de votre politique de mot de passe :

• Nécessite au moins une majuscule.

• Nécessite au moins une minuscule.

• Nécessite au moins un symbole.

• Nécessite au moins un chiffre.

• Nécessite au moins huit caractères.

Considérations supplémentaires en matière de sécurité

Tenez compte des mesures de sécurité supplémentaires suivantes, en plus d'une politique de mot de passe fort :

• La MFA ajoute une couche de sécurité supplémentaire en exigeant une forme d'authentification supplémentaire. Cela permet d'empêcher tout accès non autorisé même si les informations d'identification sont compromises.

• Configuration d'éléments de condition pour limiter le moment et la manière dont les autorisations administratives peuvent être utilisées en fonction de facteurs tels que l'adresse IP source ou l'âge du MFA.

L'utilisateur IAM possède des informations d'identification non utilisées

Les informations d'identification non utilisées, notamment les mots de passe et les clés d'accès restés inactifs pendant 90 jours ou plus, constituent un risque pour la sécurité de votre AWS environnement. Ces informations d'identification non utilisées créent des vecteurs d'attaque potentiels pour les attaquants et augmentent la surface d'attaque globale de votre entreprise. Conformément aux meilleures pratiques de sécurité, AWS recommande de désactiver ou de supprimer les informations d'identification qui n'ont pas été utilisées depuis 90 jours ou plus afin de réduire votre surface d'attaque.

Désactiver ou supprimer les informations d'identification non utilisées

Dans le résultat de l'exposition, ouvrez la ressource. Cela ouvrira la fenêtre des détails de l'utilisateur. Avant de prendre des mesures concernant les informations d'identification non utilisées, évaluez l'impact potentiel sur votre environnement. La suppression des informations d'identification sans évaluation appropriée peut perturber les processus en arrière-plan, les tâches planifiées, etc. Envisagez une brève période de désactivation avant la suppression définitive afin de vérifier l'impact de la suppression des informations d'identification non utilisées.

Prenez les mesures appropriées en fonction du type d'identifiant :

• Pour les mots de passe de console non utilisés, pensez d'abord à le modifier et à le désactiver temporairement. Si aucun problème ne survient, procédez à la désactivation ou à la suppression permanente.

• Pour les clés d'accès non utilisées, pensez d'abord à désactiver la clé. Après avoir confirmé qu'aucun système n'est affecté, procédez à la désactivation ou à la suppression permanente.

• Pour les utilisateurs non utilisés, pensez à désactiver temporairement l'utilisateur en joignant une politique restrictive avant la suppression complète.

L'utilisateur IAM dispose de clés d'accès non rotatives

Les clés d'accès se composent d'un identifiant de clé d'accès et d'une clé d'accès secrète qui permettent un accès programmatique aux AWS ressources. Lorsque les clés d'accès restent inchangées pendant de longues périodes, elles augmentent le risque d'accès non autorisé si elles sont compromises. Conformément aux meilleures pratiques en matière de sécurité, il est AWS recommandé de changer les clés d'accès tous les 90 jours afin de minimiser les chances que les attaquants utilisent des informations d'identification compromises.

Faire pivoter les touches d'accès

Dans le résultat de l'exposition, ouvrez la ressource. Cela ouvrira la fenêtre des détails de l'utilisateur. Pour faire pivoter les clés d'accès, consultez la section Gérer les clés d'accès pour les utilisateurs IAM dans le guide de l'utilisateur IAM.

L'utilisateur IAM dispose d'une politique qui autorise un accès illimité au déchiffrement de la clé KMS

AWS KMS vous permet de créer et de gérer des clés cryptographiques utilisées pour protéger vos données. Les politiques IAM qui autorisent des autorisations de AWS KMS déchiffrement illimitées (par exemple, kms:Decrypt oukms:ReEncryptFrom) sur toutes les clés KMS peuvent entraîner un accès non autorisé aux données si les informations d'identification d'un utilisateur IAM sont compromises. Si un attaquant accède à ces informations d'identification, il pourrait potentiellement déchiffrer toutes les données cryptées de votre environnement, y compris des données sensibles. Conformément aux meilleures pratiques de sécurité, AWS recommande d'implémenter le moindre privilège en limitant les autorisations de AWS KMS déchiffrement aux seules clés spécifiques dont les utilisateurs ont besoin pour leurs fonctions professionnelles.

Implémentation d'un accès sur la base du moindre privilège

Dans la section Recherche d'exposition, ouvrez la ressource. Cela ouvrira la fenêtre de politique IAM. Recherchez les autorisations dans KMS qui autorisent kms: le déchiffrement kms:ReEncryptFrom ou KMS:* avec une spécification de ressource de"*". Mettez à jour la politique pour limiter les autorisations de AWS KMS déchiffrement aux seules clés nécessaires. Modifiez la politique pour remplacer la "*" ressource par la AWS KMS clé spécifique ARNs requise.

Considérations relatives à la configuration sécurisée

Envisagez d'ajouter des conditions pour restreindre davantage les cas dans lesquels ces autorisations peuvent être utilisées. Par exemple, vous pouvez limiter les opérations de déchiffrement à des points de terminaison VPC ou à des plages d'adresses IP sources spécifiques. Vous pouvez également configurer des politiques clés pour restreindre davantage les personnes autorisées à utiliser des clés KMS spécifiques.