SEC03-BP07 Analisi dell'accesso pubblico e multi-account
Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono.
Risultato desiderato: sapere quali risorse AWS sono condivise e con chi. Monitora e sottoponi costantemente a audit le risorse condivise per verificare che siano condivise solo con i principali autorizzati.
Anti-pattern comuni:
-
Assenza di un inventario delle risorse condivise.
-
Mancanza di un processo di approvazione dell'accesso multi-account e dell'accesso pubblico alle risorse.
Livello di rischio associato se questa best practice non fosse adottata: basso
Guida all'implementazione
Se l'account è in AWS Organizations, puoi concedere l'accesso alle risorse all'intera organizzazione, a specifiche unità organizzative o a singoli account. Se l'account non è membro di un'organizzazione, puoi condividere le risorse con account individuali. Puoi concedere l'accesso multi-account diretto utilizzando policy collegate a risorse, ad esempio policy di bucket Amazon Simple Storage Service (Amazon S3) o consentendo a un principale in un altro account di assumere un ruolo IAM nel tuo account. Quando utilizzi le policy sulle risorse, verifica che l'accesso sia concesso solo ai principali autorizzati. Definisci un processo per approvare tutte le risorse che devono essere pubblicamente disponibili.
AWS Identity and Access Management Access AnalyzerPrincipalOrgId
per respingere il tentativo di assumere un ruolo al di fuori di AWS Organizations
AWS Config può segnalare le risorse che non sono configurate correttamente e, attraverso i controlli delle policy AWS Config, può rilevare le risorse con accesso pubblico configurato. Servizi quali AWS Control Tower
Passaggi dell'implementazione
-
Considera di abilitare AWS Config per AWS Organizations: AWS Config consente di aggregare i risultati di più account all'interno di un AWS Organizations a un account amministratore delegato. In questo modo si ottiene una visione completa che consente di implementare Regole di AWS Config su più account per rilevare le risorse accessibili pubblicamente.
-
Configura AWS Identity and Access Management Access Analyzer. IAM Access Analyzer ti aiuta a identificare le risorse nell'organizzazione e negli account, come ad esempio bucket Amazon S3 o ruoli IAMche sono condivisi con un'entità esterna.
-
Utilizza la riparazione automatica in AWS Config per rispondere alle modifiche della configurazione di accesso pubblico dei bucket Amazon S3: puoi riattivare automaticamente le impostazioni di blocco dell'accesso pubblico per i bucket Amazon S3
. -
Implementa il monitoraggio e gli avvisi per stabilire se i bucket Amazon S3 sono diventati pubblici: devi disporre di monitoraggio e avvisi
per stabilire quando Amazon S3 Block Public Access è disabilitato e se i bucket Amazon S3 diventano pubblici. Inoltre, se stai utilizzando AWS Organizations, puoi creare una policy di controllo del servizio che impedisce di modificare le policy Amazon S3 di accesso pubblico. AWS Trusted Advisor controlla i bucket Amazon S3 che hanno autorizzazioni di accesso aperte. Le autorizzazioni bucket che concedono, caricano o eliminano l'accesso per chiunque danno origine a potenziali problemi di sicurezza, consentendo a chiunque di aggiungere, modificare o rimuovere elementi in un bucket. Il controllo di Trusted Advisor esamina le autorizzazioni bucket esplicite e le policy associate che possono prevalere sulle autorizzazioni bucket. Puoi anche utilizzare AWS Config per monitorare l'accesso pubblico ai bucket Amazon S3. Per ulteriori informazioni, consulta How to Use AWS Config to Monitor for and Respond to Amazon S3 Buckets Allowing Public Access (Come utilizzare AWS Config per monitorare e gestire i bucket Amazon S3 che consentono l'accesso pubblico). Durante la revisione degli accessi, è importante considerare quali tipi di dati sono contenuti nei bucket Amazon S3. Amazon Macie aiuta a scoprire e a proteggere i dati sensibili, come PII, PHI, e le credenziali, come le chiavi private o quelle AWS.
Risorse
Documenti correlati:
-
Utilizzo di AWS Identity and Access Management Access Analyzer
-
AWS Control Tower controls library (Libreria di controlli di AWS Control Tower)
-
AWS Foundational Security Best Practices standard (Standard AWS Foundational Security Best Practices)
-
AWS Config Managed Rules (Regole gestite di AWS Config)
-
Monitoraggio dei risultati dei controlli AWS Trusted Advisor con Amazon EventBridge
-
Managing AWS Config Rules Across All Accounts in Your Organization (Gestire le regole di configurazione AWS tra tutti gli account dell'organizzazione)
Video correlati:
-
Dive Deep into IAM Access Analyzer
(Approfondire l'analisi degli accessi IAM)