Praktik terbaik keamanan di AWS CloudTrail

AWS CloudTrail menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.

CloudTrail praktik terbaik keamanan detektif

Buat jejak

Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, Anda harus membuat jejak. Meskipun CloudTrail menyediakan 90 hari informasi riwayat acara untuk acara manajemen di CloudTrail konsol tanpa membuat jejak, itu bukan catatan permanen, dan tidak memberikan informasi tentang semua jenis peristiwa yang mungkin. Untuk catatan yang sedang berlangsung, dan untuk catatan yang berisi semua jenis peristiwa yang Anda tentukan, Anda harus membuat jejak, yang mengirimkan file log ke bucket Amazon S3 yang Anda tentukan.

Untuk membantu mengelola CloudTrail data Anda, pertimbangkan untuk membuat satu jejak yang mencatat peristiwa manajemen di semua Wilayah AWS, lalu membuat jejak tambahan yang mencatat jenis peristiwa tertentu untuk sumber daya, seperti aktivitas AWS Lambda atau fungsi bucket Amazon S3.

Berikut ini adalah beberapa langkah yang dapat Anda ambil:

• Buat jejak untuk AWS akun Anda.

• Buat jejak untuk organisasi.

Terapkan jalur ke semua Wilayah AWS

Untuk mendapatkan catatan lengkap peristiwa yang diambil oleh IAM identitas, atau layanan di AWS akun Anda, setiap jejak harus dikonfigurasi untuk mencatat peristiwa di semua Wilayah AWS. Dengan mencatat peristiwa di semua Wilayah AWS, Anda memastikan bahwa semua peristiwa yang terjadi di AWS akun Anda dicatat, terlepas dari AWS Wilayah mana peristiwa itu terjadi. Ini termasuk mencatat peristiwa layanan global, yang dicatat ke AWS Wilayah khusus untuk layanan tersebut. Saat Anda membuat jejak yang berlaku untuk semua Wilayah, CloudTrail merekam peristiwa di setiap Wilayah dan mengirimkan file log CloudTrail peristiwa ke bucket S3 yang Anda tentukan. Jika AWS Wilayah ditambahkan setelah Anda membuat jejak yang berlaku untuk semua Wilayah, Wilayah baru tersebut secara otomatis disertakan, dan peristiwa di Wilayah tersebut dicatat. Ini adalah opsi default saat Anda membuat jejak di CloudTrail konsol.

Berikut ini adalah beberapa langkah yang dapat Anda ambil:

• Buat jejak untuk AWS akun Anda.

• Perbarui jejak yang ada untuk mencatat peristiwa di semua Wilayah AWS.

• Menerapkan kontrol detektif yang sedang berlangsung untuk membantu memastikan semua jejak yang dibuat mencatat peristiwa di semua Wilayah AWS dengan menggunakan aturan multi-region-cloud-trail-enabled di. AWS Config

Aktifkan integritas file CloudTrail log

File log yang divalidasi sangat berharga dalam penyelidikan keamanan dan forensik. Misalnya, file log yang divalidasi memungkinkan Anda untuk menegaskan secara positif bahwa file log itu sendiri tidak berubah, atau bahwa kredenal IAM identitas tertentu melakukan aktivitas tertentu. API Proses validasi integritas file CloudTrail log juga memungkinkan Anda mengetahui apakah file log telah dihapus atau diubah, atau menegaskan secara positif bahwa tidak ada file log yang dikirim ke akun Anda selama periode waktu tertentu. CloudTrail validasi integritas file log menggunakan algoritma standar industri: SHA -256 untuk hashing dan SHA -256 dengan untuk penandatanganan digital. RSA Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus, atau memalsukan CloudTrail file log tanpa deteksi. Untuk informasi selengkapnya, lihat Mengaktifkan validasi dan memvalidasi file.

Integrasikan dengan Amazon CloudWatch Logs

CloudWatch Log memungkinkan Anda untuk memantau dan menerima peringatan untuk peristiwa tertentu yang ditangkap oleh CloudTrail. Peristiwa yang dikirim ke CloudWatch Log adalah peristiwa yang dikonfigurasi untuk dicatat oleh jejak Anda, jadi pastikan Anda telah mengonfigurasi jejak atau jejak Anda untuk mencatat jenis peristiwa (peristiwa manajemen dan/atau peristiwa data) yang ingin Anda pantau.

Misalnya, Anda dapat memantau keamanan kunci dan peristiwa manajemen terkait jaringan, seperti peristiwa login yang gagal AWS Management Console.

Berikut ini adalah beberapa langkah yang dapat Anda ambil:

• Tinjau contoh Integrasi CloudWatch log untuk CloudTrail.

• Konfigurasikan jejak Anda untuk mengirim acara ke CloudWatch Log.

• Pertimbangkan untuk menerapkan kontrol detektif yang sedang berlangsung untuk membantu memastikan semua jejak mengirimkan peristiwa ke CloudWatch Log untuk dipantau dengan menggunakan aturan cloud-trail-cloud-watch-logs-enabled di. AWS Config

Gunakan Amazon GuardDuty

Amazon GuardDuty adalah layanan deteksi ancaman yang membantu Anda melindungi akun, wadah, beban kerja, dan data di AWS lingkungan Anda. Dengan menggunakan model machine learning (ML), serta kemampuan deteksi anomali dan ancaman, GuardDuty terus memantau berbagai sumber log untuk mengidentifikasi, dan memprioritaskan potensi risiko keamanan dan aktivitas berbahaya di lingkungan Anda.

Misalnya, GuardDuty akan mendeteksi potensi eksfiltrasi kredenal jika mendeteksi kredenal yang dibuat secara eksklusif untuk EC2 instans Amazon melalui peran peluncuran instance tetapi digunakan dari akun lain di dalamnya. AWS Untuk informasi selengkapnya, lihat Panduan GuardDuty Pengguna Amazon.

Gunakan AWS Security Hub

Pantau penggunaan Anda CloudTrail karena berkaitan dengan praktik terbaik keamanan dengan menggunakan AWS Security Hub. Security Hub menggunakan kontrol keamanan detektif untuk mengevaluasi konfigurasi sumber daya dan standar keamanan guna membantu Anda mematuhi berbagai kerangka kerja kepatuhan. Untuk informasi selengkapnya tentang penggunaan Security Hub guna mengevaluasi CloudTrail sumber daya, lihat AWS CloudTrail kontrol di Panduan AWS Security Hub Pengguna.

CloudTrail praktik terbaik keamanan preventif

Praktik terbaik berikut ini CloudTrail dapat membantu mencegah insiden keamanan.

Masuk ke bucket Amazon S3 yang berdedikasi dan terpusat

CloudTrail File log adalah log audit tindakan yang diambil oleh IAM identitas atau AWS layanan. Integritas, kelengkapan, dan ketersediaan log ini sangat penting untuk tujuan forensik dan audit. Dengan masuk ke bucket Amazon S3 khusus dan terpusat, Anda dapat menerapkan kontrol keamanan, akses, dan pemisahan tugas yang ketat.

Berikut ini adalah beberapa langkah yang dapat Anda ambil:

• Buat AWS akun terpisah sebagai akun arsip log. Jika Anda menggunakan AWS Organizations, daftarkan akun ini di organisasi, dan pertimbangkan untuk membuat jejak organisasi untuk mencatat data semua AWS akun di organisasi Anda.

• Jika Anda tidak menggunakan Organizations tetapi ingin mencatat data untuk beberapa AWS akun, buat jejak untuk mencatat aktivitas di akun arsip log ini. Batasi akses ke akun ini hanya untuk pengguna administratif tepercaya yang harus memiliki akses ke akun dan data audit.

• Sebagai bagian dari membuat jejak, apakah itu jejak organisasi atau jejak untuk satu AWS akun, buat bucket Amazon S3 khusus untuk menyimpan file log untuk jejak ini.

• Jika Anda ingin mencatat aktivitas untuk lebih dari satu AWS akun, ubah kebijakan bucket untuk mengizinkan pencatatan dan penyimpanan file log untuk semua AWS akun yang ingin Anda log aktivitas AWS akun.

• Jika Anda tidak menggunakan jejak organisasi, buat jejak di semua AWS akun Anda, tentukan bucket Amazon S3 di akun arsip log.

Gunakan enkripsi sisi server dengan kunci terkelola AWS KMS

Secara default, file log yang dikirimkan CloudTrail ke bucket S3 Anda dienkripsi dengan menggunakan enkripsi sisi server dengan kunci (-). KMS SSE KMS Untuk menggunakan SSE - KMS dengan CloudTrail, Anda membuat dan mengelola AWS KMS key, juga dikenal sebagai KMS kunci.

catatan

Jika Anda menggunakan SSE - KMS dan validasi file log, dan Anda telah memodifikasi kebijakan bucket Amazon S3 Anda untuk hanya SSE mengizinkan KMS - file terenkripsi, Anda tidak akan dapat membuat jejak yang menggunakan bucket tersebut kecuali Anda mengubah kebijakan bucket Anda untuk secara khusus AES256 mengizinkan enkripsi, seperti yang ditunjukkan pada contoh baris kebijakan berikut.

"StringNotEquals": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] } 

Berikut ini adalah beberapa langkah yang dapat Anda ambil:

• Tinjau keuntungan mengenkripsi file log Anda dengan SSE -. KMS

• Buat KMS kunci yang akan digunakan untuk mengenkripsi file log.

• Konfigurasikan enkripsi file log untuk jejak Anda.

• Pertimbangkan untuk menerapkan kontrol detektif yang sedang berlangsung untuk membantu memastikan semua jejak mengenkripsi file log dengan SSE - KMS dengan menggunakan aturan di. cloud-trail-encryption-enabled AWS Config

Menambahkan kunci kondisi ke kebijakan SNS topik Amazon default

Saat Anda mengonfigurasi jejak untuk mengirim notifikasi ke AmazonSNS, CloudTrail tambahkan pernyataan kebijakan ke kebijakan akses SNS topik Anda yang memungkinkan CloudTrail untuk mengirim konten ke SNS topik. Sebagai praktik terbaik keamanan, sebaiknya tambahkan kunci kondisi aws:SourceArn (atau opsionalaws:SourceAccount) ke pernyataan kebijakan SNS topik Amazon. Ini membantu mencegah akses akun yang tidak sah ke SNS topik Anda. Untuk informasi selengkapnya, lihat Kebijakan SNS topik Amazon untuk CloudTrail.

Menerapkan akses hak istimewa paling sedikit ke bucket Amazon S3 tempat Anda menyimpan file log

CloudTrail melacak peristiwa log ke bucket Amazon S3 yang Anda tentukan. File log ini berisi log audit tindakan yang diambil oleh IAM identitas dan AWS layanan. Integritas dan kelengkapan file log ini sangat penting untuk tujuan audit dan forensik. Untuk membantu memastikan integritas tersebut, Anda harus mematuhi prinsip hak istimewa paling sedikit saat membuat atau memodifikasi akses ke bucket Amazon S3 apa pun yang digunakan untuk CloudTrail menyimpan file log.

Lakukan langkah berikut:

• Tinjau kebijakan bucket Amazon S3 untuk setiap dan semua bucket tempat Anda menyimpan file log dan sesuaikan jika perlu untuk menghapus akses yang tidak perlu. Kebijakan bucket ini akan dibuat untuk Anda jika Anda membuat jejak menggunakan CloudTrail konsol, tetapi juga dapat dibuat dan dikelola secara manual.

• Sebagai praktik keamanan terbaik, pastikan untuk menambahkan kunci aws:SourceArn kondisi secara manual ke kebijakan bucket. Untuk informasi selengkapnya, lihat Kebijakan bucket Amazon S3 untuk CloudTrail.

• Jika Anda menggunakan bucket Amazon S3 yang sama untuk menyimpan file log untuk beberapa AWS akun, ikuti panduan untuk menerima file log untuk beberapa akun.

• Jika Anda menggunakan jejak organisasi, pastikan Anda mengikuti panduan untuk jalur organisasi, dan tinjau kebijakan contoh untuk bucket Amazon S3 untuk jejak organisasi. Membuat jejak untuk organisasi dengan AWS CLI

• Tinjau dokumentasi keamanan Amazon S3 dan contoh panduan untuk mengamankan bucket.

Aktifkan MFA hapus di bucket Amazon S3 tempat Anda menyimpan file log

Saat Anda mengonfigurasi autentikasi multi-faktor (MFA), upaya mengubah status pembuatan versi bucket, atau menghapus versi objek dalam bucket, memerlukan autentikasi tambahan. Dengan cara ini, bahkan jika pengguna memperoleh kata sandi IAM pengguna dengan izin untuk menghapus objek Amazon S3 secara permanen, Anda masih dapat mencegah operasi yang dapat membahayakan file log Anda.

Berikut ini adalah beberapa langkah yang dapat Anda ambil:

• Tinjau panduan MFApenghapusan di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

• Tambahkan kebijakan bucket Amazon S3 untuk mewajibkan. MFA

catatan

Anda tidak dapat menggunakan MFA delete dengan konfigurasi siklus hidup. Untuk informasi selengkapnya tentang konfigurasi siklus hidup dan cara berinteraksi dengan konfigurasi lain, lihat Siklus Hidup dan konfigurasi bucket lainnya di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Konfigurasikan manajemen siklus hidup objek di bucket Amazon S3 tempat Anda menyimpan file log

Default CloudTrail jejak adalah menyimpan file log tanpa batas waktu di bucket Amazon S3 yang dikonfigurasi untuk jejak. Anda dapat menggunakan aturan manajemen siklus hidup objek Amazon S3 untuk menentukan kebijakan retensi Anda sendiri agar lebih memenuhi kebutuhan bisnis dan audit Anda. Misalnya, Anda mungkin ingin mengarsipkan file log yang berusia lebih dari satu tahun ke Amazon Glacier, atau menghapus file log setelah jangka waktu tertentu berlalu.

catatan

Konfigurasi siklus hidup pada bucket berkemampuan otentikasi (MFA) multi-faktor tidak didukung.

Batasi akses ke AWSCloudTrail_FullAccess kebijakan

Pengguna dengan FullAccess kebijakan AWSCloudTrail_ memiliki kemampuan untuk menonaktifkan atau mengkonfigurasi ulang fungsi audit yang paling sensitif dan penting di akun mereka AWS . Kebijakan ini tidak dimaksudkan untuk dibagikan atau diterapkan secara luas pada IAM identitas di akun Anda AWS . Batasi penerapan kebijakan ini untuk sesedikit mungkin individu, mereka yang Anda harapkan untuk bertindak sebagai administrator AWS akun.