SEC02-BP05 Verifica e rotazione periodica delle credenziali

Sottoponi a audit e ruota periodicamente le credenziali per limitarne il tempo di utilizzo per accedere alle risorse. Le credenziali a lungo termine espongono a molti rischi che possono essere ridotti ruotandole regolarmente.

Risultato desiderato: implementare la rotazione delle credenziali per ridurre i rischi associati all'utilizzo a lungo termine. Esegui regolarmente l'audit e rimedia alla non conformità con le policy di rotazione delle credenziali.

Anti-pattern comuni:

• Nessun audit dell'uso delle credenziali.

• Utilizzo non necessario di credenziali a lungo termine.

• Utilizzo di credenziali a lungo termine e mancata rotazione regolare.

Livello di rischio associato se questa best practice non fosse adottata: medio

Guida all'implementazione

Quando non si può fare affidamento sulle credenziali temporanee e sono necessarie credenziali a lungo termine, sottoponile a audit per assicurarti che siano applicati i controlli prestabiliti, ad esempio l'autenticazione a più fattori (MFA), che siano soggette a regolare rotazione e dispongano di un livello di accesso appropriato.

La convalida periodica, preferibilmente tramite uno strumento automatizzato, è necessaria per verificare che vengano applicati i controlli corretti. Per le identità umane, è necessario richiedere agli utenti di modificare periodicamente le password e ritirare le chiavi di accesso a favore delle credenziali temporanee. Quando passi da utenti AWS Identity and Access Management (IAM) a identità centralizzate, puoi generare un report delle credenziali per effettuare l'audit degli utenti.

Ti consigliamo inoltre di monitorare l'MFA nel tuo provider di identità. Puoi configurare Regole di AWS Config o utilizzare gli standard di sicurezza AWS Security Hub per verificare se gli utenti hanno l'MFA abilitata. Considera la possibilità di utilizzare IAM Roles Anywhere per fornire credenziali temporanee per le identità macchina. Nelle situazioni in cui l'utilizzo di credenziali temporanee e ruoli IAM non è possibile, è necessario un audit frequente e la rotazione delle chiavi di accesso.

Passaggi dell'implementazione

• Eseguire regolarmente l'audit delle credenziali: l'audit delle identità configurate nel provider di identità e in IAM aiuta a verificare che solo le identità autorizzate abbiano accesso al carico di lavoro. Tali identità possono includere, a titolo esemplificativo ma non esaustivo, utenti IAM, utenti AWS IAM Identity Center, utenti Active Directory o utenti in un diverso provider di identità a monte. Ad esempio, eliminare le persone che lasciano l'organizzazione e i ruoli multi-account che non sono più necessari. Disporre di un processo per sottoporre periodicamente a audit le autorizzazioni ai servizi a cui accede un'entità IAM. Questo aiuta a identificare le policy da modificare per rimuovere le autorizzazioni non utilizzate. Utilizza i report delle credenziali e AWS Identity and Access Management Access Analyzer per eseguire l'audit di autorizzazioni e credenziali IAM. Puoi utilizzare Amazon CloudWatch per configurare allarmi per chiamate API specifiche effettuate nell'ambiente AWS. Amazon GuardDuty può anche avvisare di attività impreviste, che potrebbero indicare un accesso estremamente permissivo o un accesso non intenzionale alle credenziali IAM.

• Ruota regolarmente le credenziali: quando non è possibile utilizzare le credenziali temporanee, ruotare regolarmente le chiavi di accesso IAM a lungo termine, al massimo ogni 90 giorni. Se una chiave di accesso viene involontariamente divulgata a propria insaputa, questo limita la durata di utilizzo delle credenziali per accedere alle risorse. Per informazioni sulla rotazione delle chiavi di accesso per gli utenti IAM, consulta Rotating access keys.

• Rivedi le autorizzazioni IAM: per migliorare la sicurezza dell'Account AWS, rivedere e monitorare regolarmente ogni policy IAM. Verifica che le policy rispettino il principio del privilegio minimo.

• Considera la possibilità di automatizzare la creazione e gli aggiornamenti delle risorse IAM: IAM Identity Center automatizza molte attività IAM, come la gestione dei ruoli e delle policy. In alternativa, AWS CloudFormation può essere utilizzato per automatizzare l'implementazione delle risorse IAM, compresi ruoli e policy, per ridurre la possibilità di errore umano, poiché i modelli possono essere verificati e controllati in versione.

• Utilizza IAM Roles Anywhere per sostituire gli utenti IAM per le identità macchina: IAM Roles Anywhere consente di utilizzare i ruoli in aree tradizionalmente non accessibili, come i server on-premise. IAM Roles Anywhere utilizza un certificato X.509 affidabile per autenticarsi ad AWS e ricevere credenziali temporanee. L'utilizzo di IAM Roles Anywhere evita la necessità di ruotare queste credenziali, poiché le credenziali a lungo termine non vengono più memorizzate nell'ambiente on-premise. È necessario monitorare e ruotare il certificato X.509 quando si avvicina alla scadenza.

Risorse

Best practice correlate:

• SEC02-BP02 Utilizzo di credenziali temporanee

• SEC02-BP03 Archiviazione e utilizzo dei segreti in modo sicuro

Documenti correlati:

• Nozioni di base su AWS Secrets Manager

• IAM Best Practices(Best Practice IAM)

• Provider di identità e federazione

• Soluzioni dei partner per la sicurezza: accesso e controllo degli accessi

• Credenziali di sicurezza temporanee

• Recupero dei report delle credenziali per l'Account AWS

Video correlati:

• Best practice per la gestione, il recupero e la rotazione di segreti su scala

• Managing user permissions at scale with AWS IAM Identity Center (Gestire le autorizzazioni degli utenti su larga scala con AWS SSO)

• Mastering identity at every layer of the cake

Esempi correlati:

• Well-Architected Lab - Automated IAM User Cleanup (Well-Architected Lab - Pulizia automatica degli utenti IAM)

• Well-Architected Lab - Automated Deployment of IAM Groups and Roles (Well-Architected Lab - Distribuzione automatica di gruppi e ruoli IAM)