SEC03-BP07 Analisi dell'accesso pubblico e multi-account

Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che lo richiedono.

Risultato desiderato: sapere quali risorse AWS sono condivise e con chi. Monitora e sottoponi costantemente a audit le risorse condivise per verificare che siano condivise solo con i principali autorizzati.

Anti-pattern comuni:

Assenza di un inventario delle risorse condivise.
Mancanza di un processo di approvazione dell'accesso multi-account e dell'accesso pubblico alle risorse.

Livello di rischio associato se questa best practice non fosse adottata: basso

Guida all'implementazione

Se l'account è in AWS Organizations, puoi concedere l'accesso alle risorse all'intera organizzazione, a specifiche unità organizzative o a singoli account. Se l'account non è membro di un'organizzazione, puoi condividere le risorse con account individuali. Puoi concedere l'accesso multi-account diretto utilizzando policy collegate a risorse, ad esempio policy di bucket Amazon Simple Storage Service (Amazon S3) o consentendo a un principale in un altro account di assumere un ruolo IAM nel tuo account. Quando utilizzi le policy sulle risorse, verifica che l'accesso sia concesso solo ai principali autorizzati. Definisci un processo per approvare tutte le risorse che devono essere pubblicamente disponibili.

AWS Identity and Access Management Access Analyzer utilizza la sicurezza comprovabile per identificare tutti i percorsi di accesso a una risorsa dall'esterno del suo account. Esamina continuamente le policy delle risorse e segnala i risultati dell'accesso pubblico e multi-account per semplificare l'analisi di accessi potenzialmente estesi. Considera di configurare IAM Access Analyzer con AWS Organizations per assicurarti di avere visibilità su tutti gli account. IAM Access Analyzer consente inoltre di vedere in anteprima i risultati prima di implementare le autorizzazioni della risorsa. Questo consente di convalidare che le modifiche alla policy concedono solo l'accesso multi-account e pubblico autorizzati alle risorse. Quando progetti l'accesso multi-account, puoi utilizzare le policy di attendibilità per controllare in quali casi un ruolo può essere assunto. Ad esempio, puoi utilizzare la chiave di condizione PrincipalOrgId per respingere il tentativo di assumere un ruolo al di fuori di AWS Organizations.

AWS Config può segnalare le risorse che non sono configurate correttamente e, attraverso i controlli delle policy AWS Config, può rilevare le risorse con accesso pubblico configurato. Servizi quali AWS Control Tower e AWS Security Hub semplificano l'implementazione dei controlli e guardrail investigativi su AWS Organizations per identificare e correggere le risorse esposte pubblicamente. Ad esempio, AWS Control Tower ha un guardrail gestito in grado di rilevare l'eventuale presenza di snapshot Amazon EBS ripristinabili da Account AWS.

Passaggi dell'implementazione

Considera di abilitare AWS Config per AWS Organizations: AWS Config consente di aggregare i risultati di più account all'interno di un AWS Organizations a un account amministratore delegato. In questo modo si ottiene una visione completa che consente di implementare Regole di AWS Config su più account per rilevare le risorse accessibili pubblicamente.
Configura AWS Identity and Access Management Access Analyzer. IAM Access Analyzer ti aiuta a identificare le risorse nell'organizzazione e negli account, come ad esempio bucket Amazon S3 o ruoli IAMche sono condivisi con un'entità esterna.
Utilizza la riparazione automatica in AWS Config per rispondere alle modifiche della configurazione di accesso pubblico dei bucket Amazon S3: puoi riattivare automaticamente le impostazioni di blocco dell'accesso pubblico per i bucket Amazon S3.
Implementa il monitoraggio e gli avvisi per stabilire se i bucket Amazon S3 sono diventati pubblici: devi disporre di monitoraggio e avvisi per stabilire quando Amazon S3 Block Public Access è disabilitato e se i bucket Amazon S3 diventano pubblici. Inoltre, se stai utilizzando AWS Organizations, puoi creare una policy di controllo del servizio che impedisce di modificare le policy Amazon S3 di accesso pubblico. AWS Trusted Advisor controlla i bucket Amazon S3 che hanno autorizzazioni di accesso aperte. Le autorizzazioni bucket che concedono, caricano o eliminano l'accesso per chiunque danno origine a potenziali problemi di sicurezza, consentendo a chiunque di aggiungere, modificare o rimuovere elementi in un bucket. Il controllo di Trusted Advisor esamina le autorizzazioni bucket esplicite e le policy associate che possono prevalere sulle autorizzazioni bucket. Puoi anche utilizzare AWS Config per monitorare l'accesso pubblico ai bucket Amazon S3. Per ulteriori informazioni, consulta How to Use AWS Config to Monitor for and Respond to Amazon S3 Buckets Allowing Public Access (Come utilizzare AWS Config per monitorare e gestire i bucket Amazon S3 che consentono l'accesso pubblico). Durante la revisione degli accessi, è importante considerare quali tipi di dati sono contenuti nei bucket Amazon S3. Amazon Macie aiuta a scoprire e a proteggere i dati sensibili, come PII, PHI, e le credenziali, come le chiavi private o quelle AWS.

Risorse

Documenti correlati:

Utilizzo di AWS Identity and Access Management Access Analyzer
AWS Control Tower controls library (Libreria di controlli di AWS Control Tower)
AWS Foundational Security Best Practices standard (Standard AWS Foundational Security Best Practices)
AWS Config Managed Rules (Regole gestite di AWS Config)
Riferimento dei controlli AWS Trusted Advisor
Monitoraggio dei risultati dei controlli AWS Trusted Advisor con Amazon EventBridge
Managing AWS Config Rules Across All Accounts in Your Organization (Gestire le regole di configurazione AWS tra tutti gli account dell'organizzazione)
AWS Config e AWS Organizations

Video correlati:

Best Practices for securing your multi-account environment (Best practice per la protezione dell'ambiente multi-account)
Dive Deep into IAM Access Analyzer (Approfondire l'analisi degli accessi IAM)

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SEC03-BP06 Gestione degli accessi in base al ciclo di vita

SEC03-BP08 Condivisione delle risorse in modo sicuro all'interno dell'organizzazione