Correzione delle esposizioni per gli utenti IAM

AWS Security Hub può generare risultati di esposizione per gli utenti AWS Identity and Access Management (IAM).

Nella console Security Hub, l'utente IAM coinvolto in un rilevamento dell'esposizione e le relative informazioni identificative sono elencati nella sezione Risorse dei dettagli del risultato. A livello di codice, puoi recuperare i dettagli delle risorse con il GetFindingsV2funzionamento dell'API Security Hub.

Dopo aver identificato la risorsa coinvolta in un rilevamento dell'esposizione, puoi eliminare la risorsa se non ti serve. L'eliminazione di una risorsa non essenziale può ridurre il profilo di esposizione e AWS i costi. Se la risorsa è essenziale, segui questi passaggi correttivi consigliati per mitigare il rischio. Gli argomenti relativi alla correzione sono suddivisi in base al tipo di caratteristica.

Un singolo risultato sull'esposizione contiene i problemi identificati in diversi argomenti relativi alla correzione. Al contrario, è possibile risolvere un problema di esposizione e ridurne il livello di gravità affrontando un solo argomento di correzione. L'approccio alla risoluzione dei rischi dipende dai requisiti organizzativi e dai carichi di lavoro.

Nota

Le linee guida sulla correzione fornite in questo argomento potrebbero richiedere ulteriori consultazioni in altre risorse. AWS

Le migliori pratiche IAM consigliano di creare ruoli IAM o di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee invece di creare singoli utenti IAM. Se questa è un'opzione per la tua organizzazione e il tuo caso d'uso, ti consigliamo di passare ai ruoli o alla federazione invece di utilizzare gli utenti IAM. Per ulteriori informazioni, consulta Utenti IAM nella Guida per l'utente di IAM.

Indice

• Caratteristiche di configurazione errate per gli utenti IAM

  • L'utente IAM dispone di una policy con accesso amministrativo

  • L'utente IAM non ha l'MFA abilitata

  • L'utente IAM dispone di una policy con accesso amministrativo a un Servizio AWS

  • L' AWS account per l'utente IAM ha politiche di password deboli

  • L'utente IAM ha credenziali non utilizzate

  • L'utente IAM dispone di chiavi di accesso non ruotate

  • L'utente IAM dispone di una policy che consente l'accesso illimitato alla decrittografia delle chiavi KMS

Caratteristiche di configurazione errate per gli utenti IAM

Ecco le caratteristiche di configurazione errata per gli utenti IAM e le procedure di correzione suggerite.

L'utente IAM dispone di una policy con accesso amministrativo

Le policy IAM concedono una serie di privilegi agli utenti IAM per l'accesso alle risorse. Le politiche amministrative forniscono agli utenti IAM ampie autorizzazioni per AWS i servizi e le risorse. Fornire privilegi amministrativi completi, anziché il set minimo di autorizzazioni di cui l'utente ha bisogno, può aumentare la portata di un attacco in caso di compromissione delle credenziali. In base ai principi di sicurezza standard, si AWS consiglia di concedere i privilegi minimi, il che significa che si concedono solo le autorizzazioni necessarie per eseguire un'attività.

1. Rivedi e identifica le politiche amministrative: nell'ID risorsa, identifica il nome del ruolo IAM. Vai alla dashboard IAM e seleziona il ruolo identificato. Rivedi la politica di autorizzazione allegata all'utente IAM. Se la policy è una policy AWS gestita, cerca AdministratorAccess oIAMFullAccess. Altrimenti, nel documento programmatico, cerca le dichiarazioni che riportano il "Effect": "Allow" segno "Action": "*" over"Resource": "*".

2. Implementa l'accesso con privilegi minimi: sostituisci le politiche amministrative del servizio con quelle che concedono solo le autorizzazioni specifiche necessarie per il funzionamento dell'utente. Per ulteriori informazioni sulle best practice di sicurezza per le policy IAM, consulta Applica le autorizzazioni con privilegi minimi nella Guida per l'utente.AWS Identity and Access Management Per identificare le autorizzazioni non necessarie, puoi utilizzare IAM Access Analyzer per capire come modificare la tua policy in base alla cronologia degli accessi. Per ulteriori informazioni, consulta Findings for external and inused access nella Guida per l'AWS Identity and Access Management utente.

3. Considerazioni sulla configurazione sicura: se per l'istanza sono necessarie le autorizzazioni amministrative del servizio, prendi in considerazione l'implementazione di questi controlli di sicurezza aggiuntivi per mitigare i rischi:

   • Autenticazione a più fattori (MFA): l'MFA aggiunge un ulteriore livello di sicurezza richiedendo una forma di autenticazione aggiuntiva. Questo aiuta a prevenire l'accesso non autorizzato anche se le credenziali sono compromesse. Per ulteriori informazioni, consulta Richiedere l'autenticazione a più fattori (MFA) nella Guida per AWS Identity and Access Management l'utente.

   • Condizioni IAM: la configurazione degli elementi delle condizioni consente di limitare quando e come le autorizzazioni amministrative possono essere utilizzate in base a fattori come l'IP di origine o l'età della MFA. Per ulteriori informazioni, consulta Usa le condizioni nelle politiche IAM per limitare ulteriormente l'accesso nella Guida per l'AWS Identity and Access Management utente.

   • Limiti di autorizzazione: i limiti di autorizzazione stabiliscono le autorizzazioni massime che un ruolo può avere, fornendo barriere per i ruoli con accesso amministrativo. Per ulteriori informazioni, consulta Utilizzare i limiti delle autorizzazioni per delegare la gestione delle autorizzazioni all'interno di un account nella Guida per l'utente.AWS Identity and Access Management

L'utente IAM non ha l'MFA abilitata

L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione al di sopra di nome utente e password. Quando l'MFA è abilitata e un utente IAM accede a un AWS sito Web, gli viene richiesto il nome utente, la password e un codice di autenticazione dal dispositivo AWS MFA. L'entità principal di autenticazione deve possedere un dispositivo che genera una chiave legata al fattore tempo e deve essere a conoscenza delle credenziali. Senza MFA, se la password di un utente viene compromessa, un utente malintenzionato ottiene l'accesso completo alle autorizzazioni dell'utente. AWS Seguendo i principi di sicurezza standard, AWS consiglia di abilitare la MFA per tutti gli account e gli utenti che hanno AWS Management Console accesso.

Esamina i tipi di MFA

AWS supporta i seguenti tipi di MFA:

• Passkey e chiavi di sicurezza

• Applicazioni di autenticazione virtuale

• Token TOTP hardware

Sebbene l'autenticazione con un dispositivo fisico offra in genere una protezione di sicurezza più rigorosa, l'utilizzo di qualsiasi tipo di MFA è più sicuro rispetto alla disattivazione dell'MFA.

Abilitare MFA

Per abilitare il tipo di MFA più adatto alle tue esigenze, consulta l'AWS autenticazione a più fattori in IAM nella IAM User Guide. Segui i passaggi per il tipo di MFA specifico che desideri implementare. Per le organizzazioni che gestiscono molti utenti, potresti voler imporre l'utilizzo della MFA richiedendo l'accesso a risorse sensibili.

L'utente IAM dispone di una policy con accesso amministrativo a un Servizio AWS

Le politiche di amministrazione del servizio forniscono agli utenti IAM le autorizzazioni per eseguire tutte le azioni all'interno di un AWS servizio specifico. Queste politiche in genere includono autorizzazioni che non sono necessarie agli utenti per svolgere le proprie funzioni lavorative. Fornire a un utente IAM i privilegi di amministratore del servizio, anziché il set minimo di autorizzazioni necessarie, aumenta la portata di un attacco in caso di compromissione delle credenziali. Seguendo i principi di sicurezza standard, AWS consiglia di concedere i privilegi minimi, il che significa che si concedono solo le autorizzazioni necessarie per eseguire un'attività.

Rivedi e identifica le politiche di amministrazione del servizio

Nel Resource ID, identifica il nome del ruolo IAM. Vai alla dashboard IAM e seleziona il ruolo identificato. Rivedi la politica di autorizzazione allegata all'utente IAM. Se la policy è una policy gestita da AWS, cerca AdministratorAccess oIAMFullAccess. Altrimenti, nel documento sulla politica, cerca le dichiarazioni che contengono le dichiarazioni "Effect": "Allow" with "Action": "*" over "Resource": "*".

Implementazione dell'accesso con privilegi minimi

Sostituisci le politiche amministrative del servizio con quelle che concedono solo le autorizzazioni specifiche necessarie per il funzionamento dell'utente. Per identificare le autorizzazioni non necessarie, puoi utilizzare IAM Access Analyzer per capire come modificare la tua policy in base alla cronologia degli accessi.

Considerazioni sulla configurazione sicura

Se per l'istanza sono necessarie le autorizzazioni amministrative del servizio, prendi in considerazione l'implementazione di questi controlli di sicurezza aggiuntivi per mitigare l'esposizione:

• L'MFA aggiunge un ulteriore livello di sicurezza richiedendo una forma di autenticazione aggiuntiva. Questo aiuta a prevenire l'accesso non autorizzato anche se le credenziali sono compromesse.

• Utilizza gli elementi delle condizioni per limitare quando e come le autorizzazioni amministrative possono essere utilizzate in base a fattori come l'IP di origine o l'età dell'MFA.

• Utilizza i limiti di autorizzazione per stabilire le autorizzazioni massime che un ruolo può avere, fornendo barriere per i ruoli con accesso amministrativo.

L' AWS account per l'utente IAM ha politiche di password deboli

Le policy relative alle password aiutano a proteggere dagli accessi non autorizzati imponendo requisiti minimi di complessità per le password degli utenti IAM. Senza politiche solide in materia di password, aumenta il rischio che gli account utente possano essere compromessi mediante l'indovinazione delle password o attacchi di forza bruta. Seguendo i principi di sicurezza standard, AWS consiglia di implementare una politica di password sicura per garantire che gli utenti creino password complesse e difficili da indovinare.

Configura una politica di password sicura

Vai alla dashboard IAM e vai alle impostazioni dell'account. Controlla le attuali impostazioni delle politiche relative alle password per il tuo account, tra cui la lunghezza minima, i tipi di caratteri richiesti e le impostazioni di scadenza della password.

Come minimo, AWS consiglia di attenersi alle seguenti best practice per l'impostazione della politica in materia di password:

• Richiede almeno un carattere maiuscolo.

• Richiede almeno un carattere minuscolo.

• Richiede almeno un simbolo.

• Richiede almeno un numero.

• Richiede almeno otto caratteri.

Ulteriori considerazioni sulla sicurezza

Prendi in considerazione queste misure di sicurezza aggiuntive oltre a una solida politica in materia di password:

• L'MFA aggiunge un ulteriore livello di sicurezza richiedendo una forma di autenticazione aggiuntiva. Questo aiuta a prevenire l'accesso non autorizzato anche se le credenziali sono compromesse.

• Impostazione di elementi condizionali per limitare quando e come le autorizzazioni amministrative possono essere utilizzate in base a fattori come l'IP di origine o l'età dell'MFA.

L'utente IAM ha credenziali non utilizzate

Le credenziali non utilizzate, incluse password e chiavi di accesso che sono rimaste inattive per 90 giorni o più, rappresentano un rischio per la sicurezza dell'ambiente. AWS Queste credenziali inutilizzate creano potenziali vettori di attacco per gli aggressori e aumentano la superficie di attacco complessiva dell'organizzazione. Seguendo le migliori pratiche di sicurezza, AWS consiglia di disattivare o rimuovere le credenziali che non vengono utilizzate da 90 giorni o più per ridurre la superficie di attacco.

Disattiva o rimuovi le credenziali non utilizzate

Nel rilevamento dell'esposizione, apri la risorsa. Si aprirà la finestra dei dettagli dell'utente. Prima di intervenire sulle credenziali non utilizzate, valutate il potenziale impatto sull'ambiente. La rimozione delle credenziali senza una valutazione adeguata potrebbe interrompere i processi in background, i lavori pianificati e altro ancora. Prendi in considerazione un breve periodo di disattivazione prima della rimozione definitiva per verificare l'impatto della rimozione delle credenziali non utilizzate.

Intraprendi l'azione appropriata in base al tipo di credenziale:

• Per le password della console non utilizzate, valuta innanzitutto la possibilità di modificare la password e disattivarla temporaneamente. Se non si verificano problemi, procedi con la disattivazione o l'eliminazione permanente.

• Per le chiavi di accesso non utilizzate, considera innanzitutto la possibilità di disattivare la chiave. Dopo aver verificato che nessun sistema è interessato, procedi con la disattivazione o l'eliminazione permanente.

• Per gli utenti non utilizzati, valuta la possibilità di disattivare temporaneamente l'utente allegando una politica restrittiva prima dell'eliminazione completa.

L'utente IAM dispone di chiavi di accesso non ruotate

Le chiavi di accesso sono costituite da un ID della chiave di accesso e da una chiave di accesso segreta che consentono l'accesso programmatico alle risorse. AWS Quando le chiavi di accesso rimangono invariate per lunghi periodi di tempo, aumentano il rischio di accesso non autorizzato in caso di compromissione. Seguendo le migliori pratiche di sicurezza, AWS consiglia di ruotare le chiavi di accesso ogni 90 giorni per ridurre al minimo la finestra di opportunità per gli aggressori di utilizzare credenziali compromesse.

Ruota le chiavi di accesso

Nel rilevamento dell'esposizione, apri la risorsa. Si aprirà la finestra dei dettagli dell'utente. Per ruotare le chiavi di accesso, consulta Manage access keys for IAM users nella IAM User Guide.

L'utente IAM dispone di una policy che consente l'accesso illimitato alla decrittografia delle chiavi KMS

AWS KMS ti consente di creare e gestire chiavi crittografiche utilizzate per proteggere i tuoi dati. Le policy IAM che consentono autorizzazioni di AWS KMS decrittografia illimitate (ad esempio kms:Decrypt okms:ReEncryptFrom) su tutte le chiavi KMS possono portare all'accesso non autorizzato ai dati se le credenziali di un utente IAM vengono compromesse. Se un utente malintenzionato ottiene l'accesso a queste credenziali, potrebbe potenzialmente decrittografare tutti i dati crittografati presenti nell'ambiente dell'utente, inclusi i dati sensibili. Seguendo le migliori pratiche di sicurezza, AWS consiglia di implementare il privilegio minimo limitando le autorizzazioni di AWS KMS decrittografia solo alle chiavi specifiche di cui gli utenti hanno bisogno per le loro funzioni lavorative.

Implementazione dell'accesso con privilegi minimi

Nella ricerca dell'esposizione, apri la risorsa. Si aprirà la finestra IAM Policy. Cerca le autorizzazioni in KMS che consentano kms: Decrypt kms:ReEncryptFrom o KMS:* con una specifica di risorsa di. "*" Aggiorna la politica per limitare le autorizzazioni di AWS KMS decrittografia solo alle chiavi specifiche necessarie. Modifica la politica per sostituire la "*" risorsa con le chiavi specifiche richieste ARNs . AWS KMS

Considerazioni sulla configurazione sicura

Valuta la possibilità di aggiungere condizioni per limitare ulteriormente l'utilizzo di queste autorizzazioni. Ad esempio, puoi limitare le operazioni di decrittografia a specifici endpoint VPC o intervalli IP di origine. Puoi anche configurare le politiche chiave per limitare ulteriormente chi può utilizzare chiavi KMS specifiche.