SEC02-BP05 Audit dan putar kredensional secara berkala

Lakukan audit dan rotasi kredensial secara rutin membatasi seberapa lama kredensial dapat digunakan untuk mengakses sumber daya Anda. Kredensial jangka panjang dapat menimbulkan banyak risiko, tetapi risiko-risiko ini dapat dikurangi dengan secara rutin melakukan rotasi terhadap kredensial jangka panjang.

Hasil yang diinginkan: Mengimplementasikan rotasi kredensial untuk membantu Anda mengurangi risiko yang terkait dengan penggunaan kredensial jangka panjang. Melakukan audit dan perbaikan secara rutin untuk penggunaan yang tidak mematuhi kebijakan-kebijakan rotasi kredensial.

Anti-pola umum:

• Tidak melakukan audit penggunaan kredensial.

• Menggunakan kredensial jangka panjang saat tidak diperlukan.

• Menggunakan kredensial jangka panjang dan tidak melakukan rotasi kredensial secara rutin.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi

Panduan implementasi

Bila Anda tidak dapat mengandalkan kredensi sementara dan memerlukan kredensil jangka panjang, kredensi audit untuk memverifikasi bahwa kontrol yang ditentukan seperti otentikasi multi-faktor (MFA) diberlakukan, diputar secara teratur, dan memiliki tingkat akses yang sesuai.

Validasi berkala, sebaiknya menggunakan sebuah alat otomatis, diperlukan untuk memverifikasi bahwa kontrol yang tepat sudah diberlakukan. Untuk identitas manusia, Anda harus mewajibkan pengguna untuk mengubah kata sandi mereka secara rutin dan memensiunkan kunci akses yang ditukar dengan kredensial sementara. Saat Anda berpindah dari AWS Identity and Access Management (IAM) pengguna ke identitas terpusat, Anda dapat membuat laporan kredensi untuk mengaudit pengguna Anda.

Kami juga menyarankan Anda menegakkan dan memantau MFA di penyedia identitas Anda. Anda dapat mengatur Aturan AWS Config, atau menggunakan Standar AWS Security Hub Keamanan, untuk memantau apakah pengguna telah mengonfigurasiMFA. Pertimbangkan untuk menggunakan IAM Peran Di Mana Saja untuk memberikan kredensi sementara untuk identitas mesin. Dalam situasi ketika menggunakan IAM peran dan kredensi sementara tidak dimungkinkan, sering mengaudit dan memutar kunci akses diperlukan.

Langkah-langkah implementasi

• Audit kredensi secara teratur: Mengaudit identitas yang dikonfigurasi di penyedia identitas Anda dan IAM membantu memverifikasi bahwa hanya identitas resmi yang memiliki akses ke beban kerja Anda. Identitas tersebut dapat mencakup, tetapi tidak terbatas pada, IAM pengguna, pengguna, AWS IAM Identity Center pengguna Active Directory, atau pengguna di penyedia identitas hulu yang berbeda. Misalnya, hapus orang-orang yang keluar dari organisasi, dan hapus pula peran lintas akun yang tidak lagi diperlukan. Memiliki proses untuk mengaudit izin secara berkala ke layanan yang diakses oleh IAM entitas. Tindakan ini akan membantu Anda mengidentifikasi kebijakan-kebijakan yang perlu diubah untuk menghapus izin-izin yang tidak digunakan. Gunakan laporan kredensi dan AWS Identity and Access Management Access Analyzeruntuk mengaudit IAM kredensi dan izin. Anda dapat menggunakan Amazon CloudWatch untuk mengatur alarm untuk API panggilan tertentu yang dipanggil dalam AWS lingkungan Anda. Amazon juga GuardDuty dapat mengingatkan Anda tentang aktivitas tak terduga, yang mungkin menunjukkan akses yang terlalu permisif atau akses yang tidak diinginkan ke kredensil. IAM

• Putar kredensil secara teratur: Ketika Anda tidak dapat menggunakan kredensil sementara, putar kunci IAM akses jangka panjang secara teratur (maksimum setiap 90 hari). Tindakan ini akan membatasi waktu penggunaan kredensial untuk mengakses sumber daya Anda jika ada kunci akses yang bocor tanpa sepengetahuan Anda. Untuk informasi tentang memutar kunci akses bagi IAM pengguna, lihat Memutar kunci akses.

• Meninjau IAM izin: Untuk meningkatkan keamanan Anda Akun AWS, tinjau dan pantau setiap IAM kebijakan Anda secara teratur. Pastikan bahwa kebijakan tersebut memenuhi prinsip hak akses paling rendah.

• Pertimbangkan untuk mengotomatiskan pembuatan dan pembaruan IAM sumber daya: Pusat IAM Identitas mengotomatiskan banyak IAM tugas, seperti manajemen peran dan kebijakan. Atau, AWS CloudFormation dapat digunakan untuk mengotomatisasi penyebaran IAM sumber daya, termasuk peran dan kebijakan, untuk mengurangi kemungkinan kesalahan manusia karena template dapat diverifikasi dan dikontrol versi.

• Gunakan IAM Peran Di Mana Saja untuk mengganti IAM pengguna dengan identitas mesin: IAM Peran Di Mana Saja memungkinkan Anda menggunakan peran di area yang biasanya tidak dapat Anda lakukan, seperti server di lokasi. IAMRoles Anywhere menggunakan sertifikat X.509 tepercaya untuk mengautentikasi AWS dan menerima kredensi sementara. Menggunakan IAM Peran Di Mana Saja menghindari kebutuhan untuk memutar kredensil ini, karena kredensil jangka panjang tidak lagi disimpan di lingkungan lokal Anda. Perlu diketahui bahwa Anda harus memantau dan merotasi sertifikat X.509 sebelum memasuki masa kedaluwarsa.

Sumber daya

Praktik-praktik terbaik terkait:

• SEC02-BP02 Gunakan kredenal sementara

• SEC02-BP03 Menyimpan dan menggunakan rahasia dengan aman

Dokumen terkait:

• Memulai dengan AWS Secrets Manager

• IAMPraktik Terbaik

• Penyedia Identitas dan Federasi

• Solusi Partner Keamanan: Akses dan Kontrol Akses

• Kredensial Keamanan Sementara

• Mendapatkan laporan kredensi untuk Anda Akun AWS

Video terkait:

• Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Secret dalam Skala Besar

• Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center

• Menguasai identitas di setiap lapisan beban kerja

Contoh terkait:

• Well-Architected Lab - Pembersihan Pengguna Otomatis IAM

• Well-Architected Lab - Penyebaran IAM Otomatis Grup dan Peran