SEC03-BP09 Berbagi sumber daya secara aman dengan pihak ketiga

Keamanan lingkungan cloud tidak berhenti di organisasi Anda. Organisasi Anda mungkin menggunakan pihak ketiga untuk mengelola sebagian data Anda. Manajemen izin untuk sistem yang dikelola pihak ketiga harus mengikuti praktik just-in-time akses menggunakan prinsip hak istimewa paling sedikit dengan kredensi sementara. Melalui kerja sama dengan pihak ketiga, Anda dapat mengurangi cakupan dampak dan risiko yang mungkin dimunculkan oleh akses yang tidak diinginkan.

Hasil yang diinginkan: Kredensi jangka panjang AWS Identity and Access Management (IAM), kunci IAM akses, dan kunci rahasia yang terkait dengan pengguna dapat digunakan oleh siapa saja selama kredensialnya valid dan aktif. Menggunakan IAM peran dan kredensi sementara membantu Anda meningkatkan sikap keamanan Anda secara keseluruhan dengan mengurangi upaya untuk mempertahankan kredensi jangka panjang, termasuk manajemen dan overhead operasional dari detail sensitif tersebut. Dengan menggunakan pengenal unik universal (UUID) untuk ID eksternal dalam kebijakan IAM kepercayaan, dan menjaga kebijakan yang melekat pada IAM peran di bawah kendali Anda, Anda dapat mengaudit dan memverifikasi bahwa akses yang diberikan kepada pihak ketiga tidak terlalu permisif. IAM Untuk panduan preskriptif tentang cara melakukan analisis sumber daya bersama secara eksternal, silakan lihat SEC03-BP07 Menganalisis akses publik dan lintas akun.

Anti-pola umum:

• Menggunakan kebijakan IAM kepercayaan default tanpa syarat apa pun.

• Menggunakan IAM kredensi jangka panjang dan kunci akses.

• Menggunakan kembali eksternalIDs.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Sedang

Panduan implementasi

Anda mungkin ingin mengizinkan berbagi sumber daya di luar AWS Organizations atau memberikan akses pihak ketiga ke akun Anda. Misalnya, pihak ketiga mungkin menyediakan sebuah solusi pemantauan yang perlu mengakses sumber daya yang ada di akun Anda. Dalam kasus tersebut, buat peran IAM lintas akun dengan hanya hak istimewa yang dibutuhkan oleh pihak ketiga. Selain itu, tentukan kebijakan kepercayaan dengan menggunakan kondisi ID eksternal. Saat menggunakan ID eksternal, Anda atau pihak ketiga dapat membuat sebuah ID unik untuk setiap pelanggan, pihak ketiga, atau penghunian. Setelah dibuat, ID unik tersebut tidak boleh dikontrol oleh siapa pun selain Anda. Pihak ketiga harus mengimplementasikan sebuah proses untuk memberikan ID eksternal melalui cara yang aman, dapat diaudit, dan diproduksi kembali.

Anda juga dapat menggunakan IAMRoles Anywhere untuk mengelola IAM peran untuk aplikasi di luar penggunaan AWS itu AWS APIs.

Hapus peran tersebut jika pihak ketiga sudah tidak perlu mengakses lingkungan Anda. Hindari menyediakan kredensial jangka panjang kepada pihak ketiga. Pertahankan kesadaran akan AWS layanan lain yang mendukung berbagi. Misalnya, AWS Well-Architected Tool memungkinkan berbagi beban kerja dengan orang lain Akun AWS, dan AWS Resource Access Managermembantu Anda berbagi AWS sumber daya yang Anda miliki dengan aman dengan akun lain.

Langkah-langkah implementasi

1. Gunakan peran lintas akun untuk memberikan akses kepada akun eksternal.

   Peran lintas akun akan mengurangi jumlah informasi sensitif yang disimpan oleh akun eksternal dan pihak ketiga yang diperlukan untuk melayani pelanggan mereka. Peran lintas akun memungkinkan Anda memberikan akses ke AWS sumber daya di akun Anda dengan aman kepada pihak ketiga, seperti AWS Partner s atau akun lain di organisasi Anda, sambil mempertahankan kemampuan untuk mengelola dan mengaudit akses tersebut.

   Pihak ketiga mungkin memberikan layanan kepada Anda dari sebuah infrastruktur hibrida atau menarik data ke lokasi di luar situs. IAMRoles Anywhere membantu Anda mengizinkan beban kerja pihak ketiga untuk berinteraksi secara aman dengan AWS beban kerja Anda dan selanjutnya mengurangi kebutuhan akan kredensi jangka panjang.

   Anda tidak boleh menggunakan kredensial jangka panjang, atau kunci akses yang dikaitkan dengan pengguna, untuk menyediakan akses kepada akun eksternal. Sebaiknya gunakan peran lintas akun untuk memberikan akses lintas akun sebagai gantinya.

2. Gunakan ID eksternal dengan pihak ketiga.

   Menggunakan ID eksternal memungkinkan Anda untuk menentukan siapa yang dapat mengambil peran dalam kebijakan IAM kepercayaan. Kebijakan kepercayaan mungkin mengharuskan pengguna yang mengambil peran menegaskan persyaratan dan target operasi. Itu ini juga memberikan cara bagi pemilik akun untuk mengizinkan peran tersebut untuk diasumsikan hanya dalam keadaan tertentu. Fungsi utama dari ID eksternal adalah mengatasi dan mencegah masalah deputi yang membingungkan.

   Gunakan ID eksternal jika Anda adalah Akun AWS pemilik dan Anda telah mengonfigurasi peran untuk pihak ketiga yang mengakses orang lain Akun AWS selain milik Anda, atau ketika Anda berada dalam posisi mengambil peran atas nama pelanggan yang berbeda. Bekerja dengan pihak ketiga Anda atau AWS Partner untuk menetapkan kondisi ID eksternal untuk disertakan dalam kebijakan IAM kepercayaan.

3. Gunakan eksternal IDs yang unik secara universal.

   Menerapkan proses yang menghasilkan nilai unik acak untuk ID eksternal, seperti pengidentifikasi unik universal ()UUID. Pihak ketiga yang menggunakan kembali eksternal IDs di seluruh pelanggan yang berbeda tidak mengatasi masalah wakil yang membingungkan, karena pelanggan A mungkin dapat melihat data pelanggan B dengan menggunakan peran ARN pelanggan B bersama dengan ID eksternal yang digandakan. Dalam lingkungan multi-tenant, di mana pihak ketiga mendukung beberapa pelanggan dengan berbeda Akun AWS, pihak ketiga harus menggunakan ID unik yang berbeda sebagai ID eksternal untuk masing-masing. Akun AWS Pihak ketiga bertanggung jawab untuk mendeteksi duplikat eksternal IDs dan memetakan setiap pelanggan dengan aman ke ID eksternal masing-masing. Pihak ketiga harus menguji untuk memverifikasi bahwa pihaknya hanya dapat mengambil peran saat menentukan ID eksternal. Pihak ketiga harus menahan diri dari menyimpan peran pelanggan ARN dan ID eksternal sampai ID eksternal diperlukan.

   ID eksternal bukan sesuatu yang rahasia, tetapi ID Eksternal tidak boleh berupa nilai yang mudah ditebak, seperti nomor telepon, nama, atau ID akun. Buatlah ID eksternal menjadi bidang hanya baca sehingga ID eksternal tersebut tidak dapat diubah untuk tujuan meniru penyiapan.

   Anda atau pihak ketiga dapat membuat ID eksternal. Bentuklah sebuah proses untuk menentukan siapa yang bertanggung jawab dalam pembuatan ID. Siapa pun entitas pembuat ID eksternalnya, pihak ketiga menjaga keunikan dan formatnya tetap konsisten untuk semua pelanggan.

4. Menghilangkan kredensial jangka panjang yang disediakan pelanggan.

   Menghentikan penggunaan kredensi jangka panjang dan gunakan peran lintas akun atau Peran Di Mana Saja. IAM Jika Anda harus menggunakan kredensial jangka panjang, buatlah sebuah rencana untuk bermigrasi ke akses berbasis peran. Untuk mendapatkan detail tentang cara mengelola kunci, silakan lihat Manajemen Identitas. Juga bekerja dengan Akun AWS tim Anda dan pihak ketiga untuk membuat runbook mitigasi risiko. Untuk panduan preskriptif mengenai cara menanggapi dan mengurangi potensi dampak insiden keamanan, silakan lihat Respons insiden.

5. Verifikasi bahwa pengaturan memiliki panduan preskriptif atau otomatis.

   Kebijakan yang dibuat untuk akses lintas akun di akun Anda harus mengikuti prinsip hak akses paling rendah. Pihak ketiga harus menyediakan dokumen kebijakan peran atau mekanisme penyiapan otomatis yang menggunakan AWS CloudFormation templat atau yang setara untuk Anda. Hal ini akan mengurangi adanya potensi kesalahan yang bisa terjadi pada pembuatan kebijakan manual dan menyediakan jejak yang dapat diaudit. Untuk informasi selengkapnya tentang penggunaan AWS CloudFormation templat untuk membuat peran lintas akun, lihat Peran Lintas Akun.

   Pihak ketiga harus menyediakan sebuah mekanisme penyiapan otomatis yang dapat diaudit. Namun, dengan dokumen kebijakan peran yang menguraikan akses yang diperlukan, Anda harus mengotomatiskan penyiapan peran tersebut. Menggunakan AWS CloudFormation template atau yang setara, Anda harus memantau perubahan dengan deteksi drift sebagai bagian dari praktik audit.

6. Akun untuk perubahan.

   Struktur akun Anda, kebutuhan Anda terhadap pihak ketiga, atau penawaran layanan yang disediakan dapat berubah. Anda harus mengantisipasi perubahan dan kegagalan, dan membuat rencana yang sesuai dengan orang, proses, dan teknologi yang tepat. Lakukan audit tingkat akses yang Anda berikan secara berkala, dan terapkan metode deteksi yang akan memberikan Anda peringatan tentang perubahan yang tidak terduga. Memantau dan mengaudit penggunaan peran dan datastore eksternal. IDs Anda harus bersiap untuk mencabut akses pihak ketiga, baik untuk sementara atau secara permanen, jika terjadi perubahan atau pola akses yang tidak terduga. Selain itu, ukur dampak atas operasi pencabutan Anda, termasuk waktu yang diperlukan untuk melakukannya, orang yang terlibat, biaya, dan dampaknya terhadap sumber daya lainnya.

   Untuk panduan preskriptif mengenai metode deteksi, silakan lihat Praktik terbaik deteksi.

Sumber daya

Praktik-praktik terbaik terkait:

• SEC02-BP02 Gunakan kredenal sementara

• SEC03-BP05 Tentukan pagar pembatas izin untuk organisasi Anda

• SEC03-BP06 Mengelola akses berdasarkan siklus hidup

• SEC03-BP07 Menganalisis akses publik dan lintas akun

• SEC04 Deteksi

Dokumen terkait:

• Pemilik bucket yang memberikan izin lintas akun untuk objek yang bukan miliknya

• Cara menggunakan kebijakan kepercayaan dengan IAM peran

• Mendelegasikan akses di seluruh Akun AWS menggunakan peran IAM

• Bagaimana cara mengakses sumber daya di Akun AWS penggunaan lainIAM?

• Praktik terbaik keamanan di IAM

• Logika evaluasi kebijakan lintas akun

• Cara menggunakan ID eksternal saat memberikan akses ke AWS sumber daya Anda kepada pihak ketiga

• Mengumpulkan Informasi dari AWS CloudFormation Sumber Daya yang Dibuat di Akun Eksternal dengan Sumber Daya Kustom

• Menggunakan ID Eksternal dengan Aman untuk Mengakses AWS Akun yang Dimiliki oleh Orang Lain

• IAMPerluas peran ke beban kerja di luar IAM dengan IAM Peran Di Mana Saja

Video terkait:

• Bagaimana cara mengizinkan pengguna atau peran dalam Akun AWS akses terpisah ke saya Akun AWS?

• AWS Re:Invent 2018: Menjadi Master IAM Kebijakan dalam 60 Menit atau Kurang

• AWS Pusat Pengetahuan Langsung: Praktik IAM Terbaik dan Keputusan Desain

Contoh terkait:

• Well-Architected Lab - Asumsi peran lintas IAM akun Lambda (Level 300)

• Mengonfigurasikan akses lintas akun ke Amazon DynamoDB

• AWS STS Alat Kueri Jaringan