SEC02-BP05 Mengaudit dan merotasi kredensial secara berkala

Audit dan rotasikan kredensial secara berkala guna membatasi seberapa lama kredensial dapat digunakan untuk mengakses sumber daya Anda. Kredensial jangka panjang menimbulkan banyak risiko, tetapi risiko ini dapat dikurangi dengan merotasikan kredensial jangka panjang secara berkala.

Hasil yang diinginkan: Mengimplementasikan rotasi kredensial untuk mengurangi risiko terkait penggunaan kredensial jangka panjang. Melakukan audit dan perbaikan secara rutin untuk penggunaan yang tidak mematuhi kebijakan rotasi kredensial.

Antipola umum:

• Tidak mengaudit penggunaan kredensial.

• Menggunakan kredensial jangka panjang saat tidak diperlukan.

• Menggunakan kredensial jangka panjang dan tidak merotasinya secara rutin.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi

Panduan implementasi

Jika Anda tidak dapat mengandalkan kredensial sementara dan memerlukan kredensial jangka panjang, lakukan audit kredensial untuk memastikan bahwa kontrol yang ditentukan seperti autentikasi multi-faktor (MFA) telah diterapkan, dirotasi secara rutin, dan memiliki tingkat akses yang sesuai.

Validasi berkala, sebaiknya melalui alat otomatis, diperlukan untuk memverifikasi penerapan kontrol yang tepat. Untuk identitas manusia, Anda harus mewajibkan pengguna untuk mengubah kata sandi mereka secara rutin dan menonaktifkan kunci akses yang ditukar dengan kredensial sementara. Setelah Anda beralih dari pengguna AWS Identity and Access Management (IAM) ke pengguna identitas terpusat, Anda dapat membuat laporan kredensial untuk mengaudit pengguna Anda.

Anda juga sebaiknya menerapkan dan memantau MFA dalam penyedia identitas Anda. Anda dapat mengonfigurasikan Aturan AWS Config, atau menggunakan Standar Keamanan AWS Security Hub, untuk memantau apakah pengguna mengaktifkan MFA. Pertimbangkan untuk menggunakan IAM Roles Anywhere guna memberikan kredensial sementara untuk identitas mesin. Dalam situasi yang tidak memungkinkan penggunaan peran IAM dan kredensial sementara, pengauditan dan rotasi kunci akses perlu sering dilakukan.

Langkah implementasi

• Audit kredensial secara rutin: Mengaudit identitas yang dikonfigurasikan dalam penyedia identitas dan IAM Anda membantu memastikan bahwa hanya identitas yang diotorisasi yang memiliki akses ke beban kerja Anda. Identitas tersebut mencakup, tetapi tidak terbatas pada, pengguna IAM, pengguna AWS IAM Identity Center, pengguna Active Directory, atau pengguna dalam penyedia identitas hulu yang berbeda. Misalnya, hapus orang yang keluar dari organisasi, serta hapus peran lintas akun yang sudah tidak diperlukan. Terapkan proses untuk secara berkala mengaudit izin ke layanan yang diakses oleh entitas IAM. Tindakan ini akan membantu Anda mengidentifikasi kebijakan yang perlu diubah untuk menghapus izin yang tidak digunakan. Gunakan laporan kredensial dan AWS Identity and Access Management Access Analyzer untuk mengaudit izin dan kredensial IAM. Anda dapat menggunakan Amazon CloudWatch untuk mengonfigurasi alarm untuk panggilan API tertentu dalam lingkungan AWS Anda. Amazon GuardDuty juga dapat memberikan peringatan terkait aktivitas yang tidak diharapkan, yang mungkin menandakan akses yang terlalu permisif atau akses yang tidak diinginkan ke kredensial IAM.

• Lakukan rotasi kredensial secara rutin: Ketika Anda tidak dapat menggunakan kredensial sementara, rotasikan kunci akses IAM jangka panjang secara rutin (maksimum 90 hari sekali). Tindakan ini akan membatasi waktu penggunaan kredensial untuk mengakses sumber daya Anda jika kunci akses bocor tanpa sepengetahuan Anda. Untuk informasi tentang merotasi kunci akses bagi pengguna IAM, lihat Merotasi kunci akses.

• Tinjau izin IAM: Untuk meningkatkan keamanan Akun AWS Anda, tinjau dan pantau setiap kebijakan IAM Anda secara rutin. Pastikan kebijakan tersebut memenuhi prinsip hak akses paling rendah.

• Pertimbangkan untuk mengotomatiskan pembaruan dan pembuatan sumber daya IAM: IAM Identity Center mengotomatiskan banyak tugas IAM, seperti manajemen kebijakan dan peran. Atau, AWS CloudFormation dapat digunakan untuk mengotomatiskan deployment sumber daya IAM, termasuk kebijakan dan peran, untuk mengurangi kemungkinan kesalahan akibat kelalaian manusia karena templat dapat diverifikasi serta dikelola dengan kendali versi.

• Gunakan IAM Roles Anywhere untuk mengganti pengguna IAM untuk identitas mesin: IAM Roles Anywhere memungkinkan Anda untuk menggunakan peran dalam area yang secara tradisional tidak bisa digunakan, seperti server on-premise. IAM Roles Anywhere menggunakan sertifikat X.509 tepercaya untuk mengautentikasi ke AWS serta menerima kredensial sementara. Dengan IAM Roles Anywhere, Anda tidak perlu merotasi kredensial ini karena kredensial jangka panjang tidak lagi disimpan dalam lingkungan on-premise Anda. Perlu diketahui bahwa Anda harus memantau dan merotasi sertifikat X.509 sebelum kedaluwarsa.

Sumber daya

Praktik Terbaik Terkait:

• SEC02-BP02 Menggunakan kredensial sementara

• SEC02-BP03 Menyimpan dan menggunakan rahasia secara aman

Dokumen terkait:

• Mulai menggunakan AWS Secrets Manager

• Praktik Terbaik IAM

• Penyedia Identitas dan Federasi

• Solusi Partner Keamanan: Akses dan Kontrol Akses

• Kredensial Keamanan Sementara

• Mendapatkan laporan kredensial untuk Akun AWS Anda

Video terkait:

• Praktik Terbaik untuk Mengelola, Mengambil, dan Merotasi Rahasia dalam Skala Besar

• Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center

• Menguasai identitas di setiap lapisan susunan

Contoh terkait:

• Lab Well-Architected - Pembersihan Pengguna IAM Otomatis

• Lab Well-Architected Deployment Otomatis Peran dan Grup IAM