Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlla periodicamente la configurazione di sicurezza per accertarti che soddisfi i requisiti aziendali attuali. Grazie ai controlli puoi rimuovere ruoli, gruppi, policy e utenti IAM non necessari, inoltre puoi accertarti che gli utenti e il software dispongano solo delle autorizzazioni necessarie.
Di seguito sono elencate le linee guida per il controllo e il monitoraggio in modo sistematico delle risorse AWS per le best practice di sicurezza.
Suggerimento
Puoi monitorare l'uso di IAM in relazione alle best practice sulla sicurezza utilizzando AWS Security Hub. Security Hub utilizza controlli di sicurezza per valutare le configurazioni delle risorse e gli standard di sicurezza per aiutarti a rispettare vari framework di conformità. Per ulteriori informazioni sull'utilizzo di Security Hub per la valutazione delle risorse IAM, consulta Controlli IAM (Identity and Access Management) di AWS nella Guida per l'utente di AWS Security Hub.
Indice
- Quando è necessario eseguire un controllo di sicurezza
- Linee guida per l'audit
- Verifica le credenziali del tuo account AWS
- Verifica degli utenti IAM
- Verifica dei gruppi IAM
- Verifica dei ruoli IAM
- Verifica dei provider IAM per SAML e OpenID Connect (OIDC)
- Verifica le app per dispositivi mobili
- Suggerimenti per la verifica delle policy IAM
Quando è necessario eseguire un controllo di sicurezza
Controlla la configurazione di sicurezza nelle seguenti situazioni:
-
Periodicamente. Come best practice per la sicurezza, segui la procedura descritta in questo documento a intervalli regolari.
-
In caso di cambiamenti all'interno dell'organizzazione, ad esempio persone che lasciano l'azienda.
-
Se non verifichi più, con uno o più servizi individuali di AWS, di aver rimosso le autorizzazioni non più necessarie agli utenti del tuo account.
-
Se è stato aggiunto o rimosso software dagli account, ad esempio applicazioni su istanze Amazon EC2, stack AWS OpsWorks, modelli AWS CloudFormation e così via.
-
Se sospetti che una persona non autorizzata possa aver eseguito l'accesso al tuo account.
Linee guida per l'audit
Quando verifichi la configurazione di sicurezza del tuo account, segui queste linee guida:
-
Sii meticoloso. Esamina tutti gli elementi della configurazione di sicurezza, inclusi quelli che utilizzi raramente.
-
Non dare nulla per scontato. Se non conosci a sufficienza alcuni elementi della tua configurazione di sicurezza (ad esempio il motivo della presenza di una policy specifica o dell'esistenza di un ruolo), analizza i requisiti aziendali per comprendere il potenziale rischio.
-
Fai in modo che le cose siano semplici. Per facilitare i controlli (e la gestione), usa gruppi IAM, ruoli IAM, schemi di denominazione coerenti e policy semplici.
Verifica le credenziali del tuo account AWS
Esegui questi passaggi quando verifichi le credenziali del tuo account AWS:
-
Puoi rimuovere le eventuali chiavi di accesso associate a un utente root che non utilizzi. È fortemente consigliato non utilizzare chiavi di accesso root per attività quotidiane con AWS e utilizzare, invece, utenti con credenziali temporanee, ad esempio utenti in Centro identità AWS IAM.
-
Se per l'account sono necessarie chiavi di accesso, occorre aggiornarle all'occorrenza.
Verifica degli utenti IAM
Eseguire questa procedura quando si verificano gli utenti IAM esistenti:
-
Elenca gli utenti, quindi elimina gli utenti che non sono necessari.
-
Rimuovi gli utenti dai gruppi a cui non richiedono l'accesso.
-
Verifica le policy associate ai gruppi in cui si trova l'utente. Consultare Suggerimenti per la verifica delle policy IAM.
-
Elimina le credenziali di sicurezza di cui l'utente non ha bisogno o che potrebbero essere state esposte. Ad esempio, un utente IAM utilizzato per un'applicazione non ha bisogno di una password (necessaria solo per eseguire l'accesso a siti web AWS). Analogamente, se un utente non utilizza chiavi di accesso, non c'è motivo per cui debba averne. Per ulteriori informazioni, consulta le pagine Gestione delle password per gli utenti IAM e Gestione delle chiavi di accesso per gli utenti IAM.
È possibile generare e scaricare un report delle credenziali che riporta tutti gli utenti IAM presenti nell'account e lo stato delle loro diverse credenziali, tra cui password, chiavi di accesso e dispositivi MFA. Per le password e le chiavi di accesso, il report sulle credenziali mostra la data e l'orario dell'ultimo utilizzo della password o della chiave di accesso. Valuta la possibilità di rimuovere dal tuo account le credenziali che non sono state utilizzate di recente. (Non rimuovere l'utente designato per l'accesso di emergenza.) Per ulteriori informazioni, consulta la pagina Ottenimento di report sulle credenziali per l'account AWS.
-
Aggiorna le password e le chiavi di accesso quando necessario per i casi d'uso che richiedono credenziali a lungo termine. Per ulteriori informazioni, consulta le pagine Gestione delle password per gli utenti IAM e Gestione delle chiavi di accesso per gli utenti IAM.
-
Come best practice, chiedi agli utenti fisici di utilizzare la federazione con un provider di identità per accedere ad AWS con credenziali temporanee. Se possibile, passa dagli utenti IAM agli utenti federati, ad esempio utenti in IAM Identity Center. Mantieni il numero minimo di utenti IAM necessari alle tue applicazioni.
Verifica dei gruppi IAM
Eseguire questa procedura quando si verificano i gruppi &IAM:
-
Elenca i gruppi, quindi elimina i gruppi inutilizzati.
-
Verifica gli utenti di ciascun gruppo e rimuovi gli utenti che non appartengono al gruppo in esame.
-
Verifica le policy associate al gruppo. Consultare Suggerimenti per la verifica delle policy IAM.
Verifica dei ruoli IAM
Quando vengono verificati i ruoli IAM, completare le seguenti operazioni:
-
Elenca i ruoli, quindi elimina i ruoli inutilizzati.
-
Esamina la policy di attendibilità del ruolo. Accertati di sapere chi ricopre il ruolo di principal e di comprendere perché tale account o utente debba essere in grado di assumere tale ruolo.
-
Consulta la policy di accesso del ruolo per essere sicuro che conceda le autorizzazioni idonee a chiunque assumi tale ruolo. Consulta Suggerimenti per la verifica delle policy IAM.
Verifica dei provider IAM per SAML e OpenID Connect (OIDC)
Se hai creato un'entità IAM per stabilire l'attendibilità con un gestore dell'identità digitale (IdP) SAML oppure OIDC, attieniti alla seguente procedura:
-
Elimina i provider inutilizzati.
-
Scarica e revisiona i documenti dei metadati AWS per ogni IdP SAML e accertati che i documenti rispecchino i tuoi requisiti aziendali attuali.
-
Ottieni documenti dei metadati più recenti dagli IdP SAML e aggiorna il provider in IAM.
Verifica le app per dispositivi mobili
Se hai creato un'app mobile che esegue richieste ad AWS, segui questi passaggi:
-
Accertati che l'app mobile non contenga chiavi di accesso incorporate, anche se sono archiviate crittografate.
-
Ottieni credenziali provvisorie per l'app utilizzando le API concepite a tale scopo.
Nota
È consigliabile utilizzare Amazon Cognito
Suggerimenti per la verifica delle policy IAM
Le policy sono potenti e ingegnose, per cui è importante studiare e comprendere le autorizzazioni concesse da ogni policy. Quando esamini le policy, utilizza le seguenti linee guida:
-
Collega le policy a gruppi o ruoli anziché ai singoli utenti. Se un singolo utente dispone di una policy, assicurati di comprendere perché l'utente necessita di tale policy.
-
Accertati che utenti, gruppi e ruoli IAM dispongano delle autorizzazioni necessarie e che non dispongano di autorizzazioni aggiuntive.
-
Utilizza il simulatore di policy IAM per testare le policy collegate a utenti o gruppi.
-
Tieni presente che le autorizzazioni di un utente sono il risultato di tutte le policy applicabili: sia policy basate sull'identità (su utenti, gruppi o ruoli), sia policy basate sulle risorse (su risorse come i bucket di Amazon S3, le code Amazon SQS, gli argomenti Amazon SNS e le chiavi AWS KMS). È importante esaminare tutte le policy che si applicano a un utente e comprendere il relativo set completo di autorizzazioni concesso.
-
È importante sapere che consentire a un utente di creare un utente, un gruppo, un ruolo o una policy IAM e collegare una policy all'entità principal significa effettivamente concedere a tale utente le autorizzazioni per tutte le risorse presenti nell'account. Gli utenti che possono creare policy e collegarle a un utente, gruppo o ruolo possono assegnare a se stessi qualunque autorizzazione. In generale, non concedere a utenti o ruoli che non ritieni attendibili autorizzazioni IAM per l'accesso completo alle risorse del tuo account. Quando esegui i controlli di sicurezza, accertati che le seguenti autorizzazioni IAM siano concesse a identità attendibili:
-
iam:PutGroupPolicy
-
iam:PutRolePolicy
-
iam:PutUserPolicy
-
iam:CreatePolicy
-
iam:CreatePolicyVersion
-
iam:AttachGroupPolicy
-
iam:AttachRolePolicy
-
iam:AttachUserPolicy
-
-
Assicurati che le policy non concedano autorizzazioni per servizi che non utilizzi. Ad esempio, se usi Policy AWS gestite, verifica che le policy AWS gestite in uso nel tuo account siano per servizi che effettivamente utilizzi. Per scoprire quali policy gestite da AWS sono in uso nell'account, utilizzare l'API
GetAccountAuthorizationDetails
IAM (comando AWS CLI:aws iam get-account-authorization-details
). -
Se la policy concede a un utente l'autorizzazione ad avviare un'istanza di Amazon EC2, potrebbe consentire anche l'operazione
iam:PassRole
, ma in questo caso dovrebbe elencare in modo esplicito i ruoli che l'utente può passare all'istanza di Amazon EC2. -
Esamina tutti i valori per l'elemento
Action
oResource
che includono*
. Quando è possibile, concedi l'accessoAllow
alle singole operazioni e risorse necessarie agli utenti. Tuttavia, quelle che seguono sono ragioni per cui potrebbe essere utile utilizzare*
in una policy:-
La policy è concepita per la concessione di autorizzazioni a livello amministrativo.
-
Per comodità, il carattere jolly viene utilizzato per un set di operazioni simili (ad esempio,
Describe*
): hai così a disposizione l'elenco completo delle operazioni a cui viene fatto riferimento in questo modo. -
Il carattere jolly viene utilizzato per indicare una classe di risorse o il percorso di una risorsa (ad esempio,
arn:aws:iam::
); puoi concedere l'accesso a tutte le risorse in tale classe o percorso con la massima tranquillità.account-id
:users/division_abc/* -
Un'operazione di servizio non supporta autorizzazioni a livello di risorsa; l'unica scelta per una risorsa è
*
.
-
-
Esamina i nomi delle policy per assicurarti che riflettano la funzione della policy stessa. Ad esempio, sebbene possa avere un nome che includa la dicitura "di sola lettura", la policy potrebbe effettivamente concedere le autorizzazioni di scrittura o modifica.
Per ulteriori informazioni sulla pianificazione dell'audit di sicurezza, consulta la pagina Best practice per sicurezza, identità e conformità