SEC03-BP07 Analyser l'accès public et entre les comptes - AWS Well-Architected Framework

SEC03-BP07 Analyser l'accès public et entre les comptes

Surveillez en continu les résultats qui mettent en évidence l'accès public et intercompte. Limitez l'accès public et intercompte uniquement aux ressources spécifiques qui requièrent ce type d'accès.

Résultat souhaité : savoir quelles ressources AWS sont partagées et avec qui. Surveillez et auditez continuellement vos ressources partagées afin de vérifier qu'elles ne sont partagées qu'avec les principaux autorisés.

Anti-modèles courants :

  • Ne pas tenir un inventaire des ressources partagées.

  • Ne pas suivre de processus pour régir l'accès intercompte et public aux ressources.

Niveau de risque exposé si cette bonne pratique n'est pas instaurée : faible

Directives d'implémentation

Si votre compte est dans AWS Organizations, vous pouvez accorder l'accès aux ressources à l'ensemble de l'organisation, à des unités d'organisation spécifiques ou à des comptes individuels. Si votre compte n'est pas membre d'une organisation, vous pouvez partager des ressources avec des comptes individuels. Vous pouvez accorder un accès direct intercompte à l'aide de politiques axées sur les ressources, par exemple les politiques de compartiment Amazon Simple Storage Service (Amazon S3), ou en autorisant un principal dans un autre compte à assumer un rôle IAM dans votre compte. Lorsque vous utilisez des politiques de ressources, vérifiez que l'accès n'est accordé qu'aux principaux autorisés. Définissez un processus d'approbation de toutes les ressources qui doivent être accessibles au public.

AWS Identity and Access Management Access Analyzer utilise une sécurité prouvable pour identifier tous les chemins d'accès à une ressource depuis l'extérieur de son compte. Il passe en revue les stratégies de ressources en continu et présente les résultats d'accès public et intercompte pour vous permettre d'analyser facilement un accès potentiellement étendu. Envisagez de configurer IAM Access Analyzer avec AWS Organizations afin de vérifier que vous avez une visibilité sur tous vos comptes. IAM Access Analyzer vous permet également de prévisualiser les résultats avant de déployer les autorisations des ressources. Vous pouvez ainsi vérifier que vos modifications de politique n'accordent que l'accès public et intercompte prévu à vos ressources. Lors de la conception pour un accès multicompte, vous pouvez utiliser les politiques d'approbation afin de contrôler dans quels cas un rôle peut être assumé. Par exemple, vous pouvez utiliser la clé de condition PrincipalOrgId pour refuser une tentative d'assumer un rôle depuis l'extérieur de votre AWS Organizations.

AWS Config peut signaler les ressources qui sont mal configurées et, via des contrôles de politique AWS Config, il peut détecter les ressources pour lesquelles un accès public est configuré. Des services tels que AWS Control Tower et AWS Security Hub simplifient le déploiement des contrôles de détection et des barrières de protection dans AWS Organizations afin d'identifier et de résoudre les problèmes des ressources exposées au public. Par exemple, AWS Control Tower a une barrière de protection gérée qui peut détecter si des instantanés Amazon EBS peuvent être restaurés par des Comptes AWS.

Étapes d'implémentation

  • Envisagez d'activer AWS Config pour AWS Organizations : AWS Config vous permet de regrouper les résultats de plusieurs comptes d'un AWS Organizations dans un compte d'administrateur délégué. Cela fournit une vue d'ensemble et vous permet de déployer AWS Config Rules sur plusieurs comptes afin de détecter les ressources accessibles publiquement.

  • Configurez AWS Identity and Access Management Access Analyzer IAM Access Analyzer vous permet d'identifier les ressources de votre organisation et les comptes, par exemple les compartiments Amazon S3 ou les rôles IAM qui sont partagés avec une entité externe.

  • Utilisez l'atténuation automatique dans AWS Config pour répondre aux changements apportés à la configuration de l'accès public des compartiments Amazon S3 : Vous pouvez réactiver automatiquement les paramètres d'accès public du bloc pour les compartiments Amazon S3.

  • Implémentez la surveillance et les alertes afin de déterminer si les compartiments Amazon S3 sont devenus publics : vous devez mettre en place la surveillance et les alertes pour identifier si le Blocage de l'accès public Amazon S3 est désactivé et si les compartiments Amazon S3 deviennent publics. De plus, si vous utilisez AWS Organizations, vous pouvez créer une politique de contrôle des services qui empêche les modifications des politiques d'accès public Amazon S3. AWS Trusted Advisor vérifie les compartiments Amazon S3 qui ont des autorisations d'accès ouvert. Les autorisations de compartiment qui accordent à tous un accès au chargement ou à la suppression créent des problèmes de sécurité potentiels, en permettant à quiconque d'ajouter, de modifier ou de supprimer les éléments d'un compartiment. La vérification Trusted Advisor examine les autorisations explicites de compartiment et les politiques associées de compartiment susceptibles de remplacer les autorisations du compartiment. Vous pouvez également utiliser AWS Config pour surveiller l'accès public de vos compartiments Amazon S3. Pour plus d'informations, consultez How to Use AWS Config to Monitor for and Respond to Amazon S3 Buckets Allowing Public Access. Lors de l'examen de l'accès, il est important de tenir compte des types de données contenus dans les compartiments Amazon S3. Amazon Macie permet de découvrir et de protéger les données sensibles, comme les PII, les PHI et les informations d'identification, dont les clés privées ou AWS.

Ressources

Documents connexes :

Vidéos connexes :