SEC03-BP07 Analyser l’accès public et intercompte - Framework AWS Well-Architected
Directives d’implémentation Ressources

SEC03-BP07 Analyser l’accès public et intercompte

Surveillez en continu les résultats qui mettent en évidence l’accès public et intercompte. Limitez l’accès public et l’accès intercompte aux seules ressources spécifiques qui nécessitent cet accès.

Résultat souhaité : sachez quelles ressources AWS sont partagées et avec qui. Surveillez et auditez continuellement vos ressources partagées afin de vérifier qu’elles ne sont partagées qu’avec les principaux autorisés.

Anti-modèles courants :

  • Ne pas tenir un inventaire des ressources partagées.

  • Ne pas suivre de processus pour régir l’accès intercompte et public aux ressources.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : faible

Directives d’implémentation

Si votre compte est dans AWS Organizations, vous pouvez accorder l’accès aux ressources à l’ensemble de l’organisation, à des unités d’organisation spécifiques ou à des comptes individuels. Si votre compte n’est pas membre d’une organisation, vous pouvez partager des ressources avec des comptes individuels. Vous pouvez accorder un accès intercompte direct à l’aide de politiques basées sur les ressources, par exemple les politiques de compartiment Amazon Simple Storage Service (Amazon S3), ou en autorisant le principal d’un autre compte à assumer un rôle IAM dans votre compte. Lorsque vous utilisez des politiques de ressources, vérifiez que l’accès n’est accordé qu’aux principaux autorisés. Définir un processus d’approbation de toutes les ressources qui doivent être accessibles au public.

AWS Identity and Access Management Access Analyzer utilise la sécurité prouvable pour identifier tous les chemins d’accès à une ressource en dehors de son compte. Il passe en revue les stratégies de ressources en continu et présente les résultats d’accès public et intercompte pour vous permettre d’analyser facilement un accès potentiellement étendu. Envisagez de configurer IAM Access Analyzer avec AWS Organizations afin de vérifier que vous avez une visibilité sur tous vos comptes. IAM Access Analyzer vous permet également de prévisualiser les résultats avant de déployer les autorisations relatives aux ressources. Vous pouvez ainsi vérifier que vos modifications de politique n’accordent que l’accès public et intercompte prévu à vos ressources. Lorsque vous concevez un accès multicompte, vous pouvez utiliser des politiques de confiance pour contrôler dans quels cas un rôle peut être assumé. Par exemple, vous pouvez utiliser la clé de condition PrincipalOrgId pour refuser une tentative d’assumer un rôle en dehors de votre AWS Organizations.

AWS Config peut signaler les ressources mal configurées et, par le biais de vérifications des politiques AWS Config, détecter les ressources dont l’accès public est configuré. Les services comme AWS Control Tower et AWS Security Hub simplifient le déploiement de la détection et des barrières de protection sur AWS Organizations afin d’identifier et de corriger les ressources publiquement exposées. Par exemple, AWS Control Tower dispose d’une barrière de protection gérée qui peut détecter si des instantanés Amazon EBS peuvent être restaurés par Comptes AWS.

Étapes d’implémentation

  • Envisagez d’utiliser AWS Config pour AWS Organizations : AWS Config vous permet d’agréger les résultats de plusieurs comptes au sein d’un AWS Organizations vers un compte d’administrateur délégué. Cela fournit une vue complète et vous permet de déployer AWS Config Rules sur plusieurs comptes afin de détecter les ressources accessibles au public.

  • Configurer AWS Identity and Access Management Access Analyzer IAM Access Analyzer vous aide à identifier les ressources de votre organisation et de vos comptes, telles que les compartiments Amazon S3 ou les rôles IAM, qui sont partagées avec une entité externe.

  • Utilisez la correction automatique dans AWS Config pour répondre aux modifications de la configuration de l’accès public des compartiments Amazon S3 : vous pouvez activer automatiquement les paramètres de blocage de l’accès public pour les compartiments Amazon S3.

  • Mettez en œuvre la surveillance et les alertes pour déterminer si les compartiments Amazon S3 sont devenus publics : vous devez mettre en place un système de surveillance et d’alerte pour identifier quand le blocage de l’accès public Amazon S3 est désactivé et si les compartiments Amazon S3 deviennent publics. En outre, si vous utilisez AWS Organizations, vous pouvez créer une politique de contrôle des services qui empêche toute modification des stratégies d’accès public d’Amazon S3. AWS Trusted Advisor vérifie les compartiments Amazon S3 dont les autorisations permettent un libre accès. Les autorisations de compartiment qui accordent à tous un accès au chargement ou à la suppression créent des problèmes de sécurité potentiels, en permettant à quiconque d’ajouter, de modifier ou de supprimer les éléments d’un compartiment. La vérification Trusted Advisor examine les autorisations explicites de compartiment et les politiques associées de compartiment susceptibles de remplacer les autorisations du compartiment. Vous pouvez également utiliser AWS Config pour surveiller l’accès public de vos compartiments Amazon S3. Pour obtenir plus d’informations, consultez Comment utiliser AWS Config pour surveiller et gérer les compartiments Amazon S3 autorisant l’accès public. Lors de l’examen des accès, il est important de prendre en compte les types de données contenus dans les compartiments Amazon S3. Amazon Macie permet de découvrir et de protéger les données sensibles, telles que les informations personnelles, les PHI, et les informations d’identification, telles que les données privées ou les clés AWS.

Ressources

Documents connexes :

Vidéos connexes :