Memulihkan eksposur untuk pengguna IAM

AWS Security Hub dapat menghasilkan temuan eksposur untuk pengguna AWS Identity and Access Management (IAM).

Di konsol Security Hub, pengguna IAM yang terlibat dalam temuan eksposur dan informasi pengidentifikasinya tercantum di bagian Sumber Daya pada detail temuan. Secara terprogram, Anda dapat mengambil detail sumber daya dengan GetFindingsV2pengoperasian Security Hub API.

Setelah mengidentifikasi sumber daya yang terlibat dalam temuan eksposur, Anda dapat menghapus sumber daya jika Anda tidak membutuhkannya. Menghapus sumber daya yang tidak penting dapat mengurangi profil dan AWS biaya eksposur Anda. Jika sumber daya sangat penting, ikuti langkah-langkah remediasi yang direkomendasikan ini untuk membantu mengurangi risiko. Topik remediasi dibagi berdasarkan jenis sifatnya.

Temuan eksposur tunggal berisi masalah yang diidentifikasi dalam beberapa topik remediasi. Sebaliknya, Anda dapat mengatasi temuan eksposur dan menurunkan tingkat keparahannya dengan hanya membahas satu topik remediasi. Pendekatan Anda terhadap remediasi risiko tergantung pada kebutuhan organisasi dan beban kerja Anda.

catatan

Panduan remediasi yang diberikan dalam topik ini mungkin memerlukan konsultasi tambahan dalam AWS sumber daya lain.

Praktik terbaik IAM merekomendasikan agar Anda membuat peran IAM atau menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensil sementara alih-alih membuat pengguna IAM individu. Jika itu adalah opsi untuk organisasi dan kasus penggunaan Anda, sebaiknya beralih ke peran atau federasi daripada menggunakan pengguna IAM. Untuk informasi selengkapnya, lihat Pengguna IAM di Panduan Pengguna IAM.

Daftar Isi

• Ciri salah konfigurasi untuk pengguna IAM

  • Pengguna IAM memiliki kebijakan dengan akses administratif

  • Pengguna IAM tidak mengaktifkan MFA

  • Pengguna IAM memiliki kebijakan dengan akses administratif ke Layanan AWS

  • AWS Akun untuk pengguna IAM memiliki kebijakan kata sandi yang lemah

  • Pengguna IAM memiliki kredensil yang tidak digunakan

  • Pengguna IAM memiliki kunci akses yang tidak diputar

  • Pengguna IAM memiliki kebijakan yang memungkinkan akses tidak terbatas ke dekripsi kunci KMS

Ciri salah konfigurasi untuk pengguna IAM

Berikut adalah ciri kesalahan konfigurasi untuk pengguna IAM dan langkah-langkah perbaikan yang disarankan.

Pengguna IAM memiliki kebijakan dengan akses administratif

Kebijakan IAM memberikan serangkaian hak istimewa kepada pengguna IAM saat mengakses sumber daya. Kebijakan administratif memberi pengguna IAM izin luas untuk AWS layanan dan sumber daya. Memberikan hak administratif penuh, alih-alih set izin minimum yang dibutuhkan pengguna, dapat meningkatkan cakupan serangan jika kredensil dikompromikan. Mengikuti prinsip keamanan standar, AWS merekomendasikan agar Anda memberikan hak istimewa paling sedikit, yang berarti Anda hanya memberikan izin yang diperlukan untuk melakukan tugas.

1. Tinjau dan identifikasi kebijakan administratif — Di ID Sumber Daya, identifikasi nama peran IAM. Buka dasbor IAM dan pilih peran yang diidentifikasi. Tinjau kebijakan izin yang dilampirkan pada pengguna IAM. Jika kebijakan tersebut adalah kebijakan AWS terkelola, cari AdministratorAccess atauIAMFullAccess. Jika tidak, dalam dokumen kebijakan, cari pernyataan yang memiliki pernyataan "Effect": "Allow" "Action": "*" lebih dari"Resource": "*".

2. Menerapkan akses hak istimewa terkecil — Ganti kebijakan administratif layanan dengan kebijakan yang hanya memberikan izin khusus yang diperlukan agar pengguna dapat berfungsi. Untuk informasi selengkapnya tentang praktik terbaik keamanan untuk kebijakan IAM, lihat Menerapkan izin hak istimewa terkecil di Panduan Pengguna.AWS Identity and Access Management Untuk mengidentifikasi izin yang tidak perlu, Anda dapat menggunakan IAM Access Analyzer untuk memahami cara mengubah kebijakan berdasarkan riwayat akses. Untuk informasi selengkapnya, lihat Temuan untuk akses eksternal dan tidak terpakai di Panduan AWS Identity and Access Management Pengguna.

3. Pertimbangan konfigurasi aman — Jika izin administratif layanan diperlukan untuk instans, pertimbangkan untuk menerapkan kontrol keamanan tambahan ini untuk mengurangi risiko:

   • Otentikasi multi-faktor (MFA) — MFA menambahkan lapisan keamanan tambahan dengan memerlukan bentuk otentikasi tambahan. Ini membantu mencegah akses yang tidak sah bahkan jika kredensialnya dikompromikan. Untuk informasi selengkapnya, lihat Memerlukan otentikasi multi-faktor (MFA) di Panduan Pengguna.AWS Identity and Access Management

   • Kondisi IAM - Menyiapkan elemen kondisi memungkinkan Anda membatasi kapan dan bagaimana izin administratif dapat digunakan berdasarkan faktor-faktor seperti IP sumber atau usia MFA. Untuk informasi selengkapnya, lihat Gunakan ketentuan dalam kebijakan IAM untuk membatasi akses lebih lanjut di AWS Identity and Access Management Panduan Pengguna.

   • Batas izin — Batas izin menetapkan izin maksimum yang dapat dimiliki peran, menyediakan pagar pembatas untuk peran dengan akses administratif. Untuk informasi selengkapnya, lihat Menggunakan batas izin untuk mendelegasikan manajemen izin dalam akun di Panduan Pengguna.AWS Identity and Access Management

Pengguna IAM tidak mengaktifkan MFA

Otentikasi multi-faktor (MFA) menambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Ketika MFA diaktifkan dan pengguna IAM masuk ke AWS situs web, mereka diminta untuk nama pengguna, kata sandi, dan kode otentikasi dari perangkat MFA mereka. AWS Prinsipal otentikasi harus memiliki perangkat yang memancarkan kunci sensitif waktu dan harus memiliki pengetahuan tentang kredensi. Tanpa MFA, jika kata sandi pengguna dikompromikan, penyerang mendapatkan akses penuh ke izin pengguna. AWS Mengikuti prinsip keamanan standar, AWS merekomendasikan mengaktifkan MFA untuk semua akun dan pengguna yang AWS Management Console memiliki akses.

Tinjau jenis MFA

AWS mendukung jenis MFA berikut:

• Kunci sandi dan kunci keamanan

• Aplikasi otentikator virtual

• Token TOTP perangkat keras

Meskipun otentikasi dengan perangkat fisik biasanya memberikan perlindungan keamanan yang lebih ketat, menggunakan semua jenis MFA lebih aman daripada menonaktifkan MFA.

Aktifkan MFA

Untuk mengaktifkan jenis MFA yang sesuai dengan kebutuhan Anda, lihat otentikasi AWS multi-faktor di IAM di Panduan Pengguna IAM. Ikuti langkah-langkah untuk jenis MFA tertentu yang ingin Anda terapkan. Untuk organisasi yang mengelola banyak pengguna, Anda mungkin ingin menegakkan penggunaan MFA dengan mewajibkan MFA untuk mengakses sumber daya sensitif.

Pengguna IAM memiliki kebijakan dengan akses administratif ke Layanan AWS

Kebijakan admin layanan memberi pengguna IAM izin untuk melakukan semua tindakan dalam layanan tertentu AWS . Kebijakan ini biasanya mencakup izin yang tidak diperlukan bagi pengguna untuk menjalankan fungsi pekerjaan mereka. Menyediakan pengguna IAM dengan hak administrator layanan, alih-alih set izin minimum yang diperlukan, meningkatkan cakupan serangan jika kredensil dikompromikan. Mengikuti prinsip keamanan standar, AWS merekomendasikan agar Anda memberikan hak istimewa paling sedikit, yang berarti Anda hanya memberikan izin yang diperlukan untuk melakukan tugas.

Meninjau dan mengidentifikasi kebijakan admin layanan

Di ID Sumber Daya, identifikasi nama peran IAM. Buka dasbor IAM dan pilih peran yang diidentifikasi. Tinjau kebijakan izin yang dilampirkan pada pengguna IAM. Jika kebijakan tersebut adalah kebijakan yang dikelola AWS, cari AdministratorAccess atauIAMFullAccess. Jika tidak, dalam dokumen kebijakan, cari pernyataan yang memiliki pernyataan "Effect": "Allow" with "Action": "*" over "Resource": "*".

Terapkan akses hak akses paling rendah

Ganti kebijakan administratif layanan dengan kebijakan yang hanya memberikan izin khusus yang diperlukan agar pengguna dapat berfungsi. Untuk mengidentifikasi izin yang tidak perlu, Anda dapat menggunakan IAM Access Analyzer untuk memahami cara mengubah kebijakan berdasarkan riwayat akses.

Pertimbangan konfigurasi yang aman

Jika izin administratif layanan diperlukan untuk instans, pertimbangkan untuk menerapkan kontrol keamanan tambahan ini untuk mengurangi eksposur:

• MFA menambahkan lapisan keamanan tambahan dengan membutuhkan bentuk otentikasi tambahan. Ini membantu mencegah akses yang tidak sah bahkan jika kredensialnya dikompromikan.

• Gunakan elemen kondisi untuk membatasi kapan dan bagaimana izin administratif dapat digunakan berdasarkan faktor-faktor seperti IP sumber atau usia MFA.

• Gunakan batas izin untuk menetapkan izin maksimum yang dapat dimiliki peran, menyediakan pagar pembatas untuk peran dengan akses administratif.

AWS Akun untuk pengguna IAM memiliki kebijakan kata sandi yang lemah

Kebijakan kata sandi membantu melindungi terhadap akses yang tidak sah dengan menerapkan persyaratan kompleksitas minimum untuk kata sandi pengguna IAM. Tanpa kebijakan kata sandi yang kuat, ada peningkatan risiko bahwa akun pengguna dapat dikompromikan melalui tebakan kata sandi atau serangan brute force. Mengikuti prinsip keamanan standar, AWS merekomendasikan penerapan kebijakan kata sandi yang kuat untuk memastikan pengguna membuat kata sandi kompleks yang sulit ditebak.

Konfigurasikan kebijakan kata sandi yang kuat

Buka dasbor IAM dan arahkan ke Pengaturan akun. Tinjau pengaturan kebijakan kata sandi saat ini untuk akun Anda, termasuk panjang minimum, jenis karakter yang diperlukan, dan pengaturan kedaluwarsa kata sandi.

Minimal, AWS rekomendasikan untuk mengikuti praktik terbaik ini saat menyetel kebijakan kata sandi Anda:

• Membutuhkan setidaknya satu karakter huruf besar.

• Memerlukan setidaknya satu karakter huruf kecil.

• Membutuhkan setidaknya satu simbol.

• Membutuhkan setidaknya satu nomor.

• Membutuhkan setidaknya delapan karakter.

Pertimbangan keamanan tambahan

Pertimbangkan langkah-langkah keamanan tambahan ini selain kebijakan kata sandi yang kuat:

• MFA menambahkan lapisan keamanan tambahan dengan membutuhkan bentuk otentikasi tambahan. Ini membantu mencegah akses yang tidak sah bahkan jika kredensialnya dikompromikan.

• Menyiapkan elemen kondisi untuk membatasi kapan dan bagaimana izin administratif dapat digunakan berdasarkan faktor-faktor seperti IP sumber atau usia MFA.

Pengguna IAM memiliki kredensil yang tidak digunakan

Kredensi yang tidak digunakan, termasuk kata sandi dan kunci akses yang tetap tidak aktif selama 90 hari atau lebih menimbulkan risiko keamanan bagi lingkungan Anda. AWS Kredensi yang tidak terpakai ini menciptakan vektor serangan potensial untuk penyerang dan meningkatkan permukaan serangan organisasi Anda secara keseluruhan. Mengikuti praktik terbaik keamanan, AWS rekomendasikan untuk menonaktifkan atau menghapus kredensil yang belum digunakan dalam 90 hari atau lebih untuk mengurangi permukaan serangan Anda.

Nonaktifkan atau hapus kredensil yang tidak digunakan

Dalam temuan eksposur, buka sumber daya. Ini akan membuka jendela detail pengguna. Sebelum mengambil tindakan pada kredensil yang tidak digunakan, menilai dampak potensial terhadap lingkungan Anda. Menghapus kredensi tanpa penilaian yang tepat dapat mengganggu proses latar belakang, pekerjaan terjadwal, dan banyak lagi. Pertimbangkan periode penonaktifan singkat sebelum penghapusan permanen untuk memverifikasi dampak penghapusan kredenal yang tidak digunakan.

Ambil tindakan yang sesuai berdasarkan jenis kredensi:

• Untuk kata sandi konsol yang tidak digunakan, pertimbangkan terlebih dahulu mengubah kata sandi dan menonaktifkannya untuk sementara. Jika tidak ada masalah yang muncul, lanjutkan dengan penonaktifan atau penghapusan permanen.

• Untuk kunci akses yang tidak digunakan, pertimbangkan untuk menonaktifkan kunci terlebih dahulu. Setelah mengonfirmasi tidak ada sistem yang terpengaruh, lanjutkan dengan penonaktifan atau penghapusan permanen.

• Untuk pengguna yang tidak digunakan, pertimbangkan untuk menonaktifkan sementara pengguna dengan melampirkan kebijakan pembatasan sebelum penghapusan penuh.

Pengguna IAM memiliki kunci akses yang tidak diputar

Kunci akses terdiri dari ID kunci akses dan kunci akses rahasia yang memungkinkan akses terprogram ke AWS sumber daya. Ketika kunci akses tetap tidak berubah untuk jangka waktu yang lama, mereka meningkatkan risiko akses tidak sah jika dikompromikan. Mengikuti praktik terbaik keamanan, AWS merekomendasikan memutar kunci akses setiap 90 hari untuk meminimalkan jendela peluang bagi penyerang untuk menggunakan kredensil yang disusupi.

Putar tombol akses

Dalam temuan eksposur, buka sumber daya. Ini akan membuka jendela detail pengguna. Untuk memutar kunci akses, lihat Mengelola kunci akses untuk pengguna IAM di Panduan Pengguna IAM.

Pengguna IAM memiliki kebijakan yang memungkinkan akses tidak terbatas ke dekripsi kunci KMS

AWS KMS memungkinkan Anda untuk membuat dan mengelola kunci kriptografi yang digunakan untuk melindungi data Anda. Kebijakan IAM yang mengizinkan izin AWS KMS dekripsi tidak terbatas (misalnya, kms:Decrypt ataukms:ReEncryptFrom) pada semua kunci KMS dapat menyebabkan akses data yang tidak sah jika kredensil pengguna IAM dikompromikan. Jika penyerang mendapatkan akses ke kredensil ini, mereka berpotensi mendekripsi data terenkripsi apa pun di lingkungan Anda, yang dapat mencakup data sensitif. Mengikuti praktik terbaik keamanan, AWS merekomendasikan penerapan hak istimewa paling sedikit dengan membatasi izin AWS KMS dekripsi hanya untuk kunci tertentu yang dibutuhkan pengguna untuk fungsi pekerjaan mereka.

Menerapkan akses hak istimewa yang paling rendah

Dalam temuan eksposur, buka sumber daya. Ini akan membuka jendela Kebijakan IAM. Cari izin di KMS yang memungkinkan kms: Dekripsi atau kms:ReEncryptFrom atau KMS:* dengan spesifikasi sumber daya. "*" Perbarui kebijakan untuk membatasi izin AWS KMS dekripsi hanya pada kunci tertentu yang diperlukan. Ubah kebijakan untuk mengganti "*" sumber daya dengan AWS KMS kunci spesifik ARNs yang diperlukan.

Pertimbangan konfigurasi yang aman

Pertimbangkan untuk menambahkan kondisi untuk membatasi lebih lanjut kapan izin ini dapat digunakan. Misalnya, Anda dapat membatasi operasi dekripsi ke titik akhir VPC tertentu atau rentang IP sumber. Anda juga dapat mengonfigurasi kebijakan kunci untuk membatasi lebih lanjut siapa yang dapat menggunakan kunci KMS tertentu.