SEC08-BP04 Appliquer le contrôle d'accès

Pour vous aider à protéger vos données au repos, appliquez le contrôle d'accès à l'aide de mécanismes tels que l'isolement et la gestion des versions, et appliquez le principe du moindre privilège. Empêchez l'octroi d'un accès public à vos données.

Résultat souhaité : vérifiez que seuls les utilisateurs autorisés peuvent accéder aux données en fonction de la nécessité de les connaître. Protégez vos données avec des sauvegardes et des versions régulières pour éviter toute modification ou suppression intentionnelle ou involontaire des données. Isolez les données critiques des autres données afin de protéger leur confidentialité et leur intégrité.

Anti-modèles courants :

Stocker ensemble des données ayant différentes exigences en termes de sensibilité ou de classification.
Utiliser des autorisations trop permissives sur les clés de déchiffrement.
Classer les données de façon incorrecte.
Ne pas conserver les sauvegardes détaillées des données importantes.
Fournir un accès permanent aux données de production.
Ne pas auditer l'accès aux données ni examiner régulièrement les autorisations

Niveau de risque exposé si cette bonne pratique n'est pas instaurée : faible

Directives d'implémentation

L'utilisation de plusieurs contrôles permet de protéger vos données au repos, y compris l'accès (en utilisant le moindre privilèges), l'isolement et la gestion des versions. L'accès à vos données doit être vérifié à l'aide des mécanismes de détection, notamment AWS CloudTrail, et le journal des niveaux de service, comme les journaux d'accès Amazon Simple Storage Service (Amazon S3). Vous devez faire l'inventaire des données accessibles au public et créer un plan permettant de réduire la quantité de données disponibles publiquement au fil du temps.

Amazon S3 Glacier Vault Lock et Amazon S3 Object Lock sont des fonctionnalités qui fournissent un contrôle d'accès obligatoire pour les objets dans Amazon S3. Lorsqu'une politique de coffre est verrouillée avec l'option de conformité, même l'utilisateur root ne peut pas la modifier avant l'expiration du verrouillage.

Étapes d'implémentation

Appliquez le contrôle d'accès : appliquez le contrôle d'accès avec le principe du moindre privilège, y compris l'accès aux clés de chiffrement.
Séparez les données selon différents niveaux de classification : utilisez différents Comptes AWS pour les niveaux de classification des données et gérez ces comptes en utilisant AWS Organizations.
Vérifiez les politiques AWS Key Management Service (AWS KMS) : vérifiez le niveau d'accès octroyé dans les politiques AWS KMS.
Examinez les autorisations de compartiment et d'objet Amazon S3 : examinez régulièrement le niveau d'accès octroyé dans les politiques de compartiment S3. Une bonne pratique consiste à éviter d'utiliser des compartiments publiquement accessibles en lecture ou en écriture. Envisagez d'utiliser AWS Config pour détecter les compartiments publiquement disponibles et Amazon CloudFront pour diffuser du contenu depuis Amazon S3. Vérifiez que les compartiments qui ne doivent pas permettre l'accès public sont configurés correctement pour empêcher l'accès public. Par défaut, tous les compartiments S3 sont privés et ne sont accessibles qu'aux utilisateurs auxquels l'accès a été explicitement accordé.
Activez l'Analyseur d'accèsAWS IAM : l'Analyseur d'accès IAM analyse les compartiments Amazon S3 et génère une découverte quand une politique S3 octroie un accès à une entité externe.
Activez la gestion des versions Amazon S3 et le le verrouillage des objets lorsque c'est nécessaire.
Utilisez l'inventaire Amazon S3 : l'inventaire Amazon S3 peut être utilisé pour auditer et rendre compte du statut de réplication et de chiffrement de vos objets S3.
Passez en revue les autorisations de partage Amazon EBS et AMI : le partage des autorisations peut permettre le partage des images et des volumes avec des Comptes AWS externes à votre charge de travail.
Vérifiez régulièrement les partages du Gestionnaire des accès aux ressources AWS afin de déterminer si des ressources doivent encore être partagées. Le Gestionnaire des accès aux ressources vous permet de partager des ressources, telles que les politiques AWS Network Firewall, les règles du résolveur Amazon Route 53 et les sous-réseaux avec vos Amazon VPC. Auditez régulièrement les ressources partagées et cessez de partager les ressources qui n'ont plus besoin de l'être.

Ressources

Bonnes pratiques associées :

Documents connexes :

Livre blanc Présentation des détails cryptographiques de AWS KMS
Introduction to Managing Access Permissions to Your Amazon S3 Resources (Introduction à la gestion des autorisations d'accès à vos ressources Amazon S3)
Overview of managing access to your AWS KMS resources (Aperçu de la gestion de l'accès à vos ressources KMS AWS)
AWS Config Rules
Amazon S3 + Amazon CloudFront: A Match Made in the Cloud
Utilisation de la gestion des versions
Utilisation du verrouillage des objets Amazon S3
Partager un instantané Amazon EBS
AMI partagées
Hosting a single-page application on Amazon S3 (Hébergement d'une application à une page sur Amazon S3)

Vidéos connexes :

Securing Your Block Storage on AWS

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC08-BP03 Automatiser la protection des données au repos

Protection des données en transit