SEC03-BP07 Analyser l'accès public et entre les comptes
Surveillez en continu les résultats qui mettent en évidence l'accès public et intercompte. Limitez l'accès public et intercompte uniquement aux ressources spécifiques qui requièrent ce type d'accès.
Résultat souhaité : savoir quelles ressources AWS sont partagées et avec qui. Surveillez et auditez continuellement vos ressources partagées afin de vérifier qu'elles ne sont partagées qu'avec les principaux autorisés.
Anti-modèles courants :
-
Ne pas tenir un inventaire des ressources partagées.
-
Ne pas suivre de processus pour régir l'accès intercompte et public aux ressources.
Niveau de risque exposé si cette bonne pratique n'est pas instaurée : faible
Directives d'implémentation
Si votre compte est dans AWS Organizations, vous pouvez accorder l'accès aux ressources à l'ensemble de l'organisation, à des unités d'organisation spécifiques ou à des comptes individuels. Si votre compte n'est pas membre d'une organisation, vous pouvez partager des ressources avec des comptes individuels. Vous pouvez accorder un accès direct intercompte à l'aide de politiques axées sur les ressources, par exemple les politiques de compartiment Amazon Simple Storage Service (Amazon S3), ou en autorisant un principal dans un autre compte à assumer un rôle IAM dans votre compte. Lorsque vous utilisez des politiques de ressources, vérifiez que l'accès n'est accordé qu'aux principaux autorisés. Définissez un processus d'approbation de toutes les ressources qui doivent être accessibles au public.
AWS Identity and Access Management Access AnalyzerPrincipalOrgId
pour refuser une tentative d'assumer un rôle depuis l'extérieur de votre AWS Organizations
AWS Config peut signaler les ressources qui sont mal configurées et, via des contrôles de politique AWS Config, il peut détecter les ressources pour lesquelles un accès public est configuré. Des services tels que AWS Control Tower
Étapes d'implémentation
-
Envisagez d'activer AWS Config pour AWS Organizations : AWS Config vous permet de regrouper les résultats de plusieurs comptes d'un AWS Organizations dans un compte d'administrateur délégué. Cela fournit une vue d'ensemble et vous permet de déployer AWS Config Rules sur plusieurs comptes afin de détecter les ressources accessibles publiquement.
-
Configurez AWS Identity and Access Management Access Analyzer IAM Access Analyzer vous permet d'identifier les ressources de votre organisation et les comptes, par exemple les compartiments Amazon S3 ou les rôles IAM qui sont partagés avec une entité externe.
-
Utilisez l'atténuation automatique dans AWS Config pour répondre aux changements apportés à la configuration de l'accès public des compartiments Amazon S3 : Vous pouvez réactiver automatiquement les paramètres d'accès public du bloc pour les compartiments Amazon S3
. -
Implémentez la surveillance et les alertes afin de déterminer si les compartiments Amazon S3 sont devenus publics : vous devez mettre en place la surveillance et les alertes
pour identifier si le Blocage de l'accès public Amazon S3 est désactivé et si les compartiments Amazon S3 deviennent publics. De plus, si vous utilisez AWS Organizations, vous pouvez créer une politique de contrôle des services qui empêche les modifications des politiques d'accès public Amazon S3. AWS Trusted Advisor vérifie les compartiments Amazon S3 qui ont des autorisations d'accès ouvert. Les autorisations de compartiment qui accordent à tous un accès au chargement ou à la suppression créent des problèmes de sécurité potentiels, en permettant à quiconque d'ajouter, de modifier ou de supprimer les éléments d'un compartiment. La vérification Trusted Advisor examine les autorisations explicites de compartiment et les politiques associées de compartiment susceptibles de remplacer les autorisations du compartiment. Vous pouvez également utiliser AWS Config pour surveiller l'accès public de vos compartiments Amazon S3. Pour plus d'informations, consultez How to Use AWS Config to Monitor for and Respond to Amazon S3 Buckets Allowing Public Access . Lors de l'examen de l'accès, il est important de tenir compte des types de données contenus dans les compartiments Amazon S3. Amazon Macie permet de découvrir et de protéger les données sensibles, comme les PII, les PHI et les informations d'identification, dont les clés privées ou AWS.
Ressources
Documents connexes :
-
AWS Foundational Security Best Practices standard (Normes concernant les bonnes pratiques de sécurité de base AWS)
-
AWS Config Managed Rules (Règles gérées AWS Config)
-
Surveillance des résultats de vérification AWS Trusted Advisor avec Amazon EventBridge
-
Managing AWS Config Rules Across All Accounts in Your Organization (Gestion des règles AWS Config pour tous les comptes de votre organisation)
Vidéos connexes :