SEC08-BP04 Applicazione del controllo degli accessi

Per proteggere i dati a riposo, applica il controllo degli accessi utilizzando meccanismi come l'isolamento e il controllo delle versioni, quindi applica il principio del privilegio minimo. Impedisci l'accesso pubblico ai dati.

Risultato desiderato: verifica che solo gli utenti autorizzati possano accedere ai dati in base al principio "Need-to-Know" (necessità di sapere). La protezione dei dati è assicurata da backup regolari e dal controllo delle versioni, per evitare che i dati vengano modificati o eliminati intenzionalmente o inavvertitamente. L'isolamento dei dati critici dagli altri dati ne protegge la riservatezza e l'integrità.

Anti-pattern comuni:

Archiviazione dei dati con requisiti di sensibilità o classificazione diversi.
Utilizzo di autorizzazioni troppo permissive sulle chiavi di decrittografia.
Classificazione impropria dei dati.
Nessun mantenimento di backup dettagliati dei dati importanti.
Accesso persistente ai dati di produzione.
Nessun audit dell'accesso ai dati o revisione periodica delle autorizzazioni.

Livello di rischio associato se questa best practice non fosse adottata: basso

Guida all'implementazione

La protezione dei dati a riposo può essere garantita da diversi controlli, tra cui l'accesso (utilizzando il privilegio minimo), l'isolamento e il controllo delle versioni. L'accesso ai dati deve essere soggetto a audit mediante meccanismi di rilevazione, come AWS CloudTrail e log sul livello di servizio, come i log di accesso di Amazon Simple Storage Service (Amazon S3). Per ridurre nel tempo la quantità di dati disponibili pubblicamente, è necessario fare un inventario dei dati accessibili pubblicamente e creare un piano.

Amazon S3 Glacier Vault Lock e Amazon S3 Object Lock forniscono un controllo di accesso obbligatorio per gli oggetti in Amazon S3: una volta bloccata con l'opzione di conformità, una policy Vault non può essere modificata nemmeno dall'utente root fino alla scadenza del blocco.

Passaggi dell'implementazione

Applica il controllo degli accessi: applica il controllo degli accessi con privilegio minimo, incluso l'accesso alle chiavi di crittografia.
Separa i dati in base a diversi livelli di classificazione: utilizza diversi Account AWS per i livelli di classificazione dei dati e gestisci tali account utilizzando AWS Organizations.
Rivedi le policy di AWS Key Management Service (AWS KMS): rivedi il livello di accesso concesso nelle policy di AWS KMS.
Rivedi le autorizzazioni dei bucket e degli oggetti di Amazon S3: rivedi regolarmente il livello di accesso concesso nelle policy dei bucket S3. La best practice è evitare di utilizzare bucket leggibili o scrivibili pubblicamente. Valuta l'utilizzo di AWS Config per rilevare i bucket disponibili pubblicamente e di Amazon CloudFront per fornire contenuti provenienti da Amazon S3. Verifica che i bucket che non consentono l'accesso pubblico siano configurati correttamente per impedirlo. Per impostazione predefinita, tutti i bucket S3 sono privati e possono accedervi soltanto gli utenti a cui è stato esplicitamente accordato l'accesso.
Abilita AWS IAM Access Analyzer: IAM Access Analyzer analizza i bucket Amazon S3 e genera un risultato quando una policy S3 concede l'accesso a un'entità esterna.
Abilita il controllo delle versioni Amazon S3 e del blocco degli oggetti laddove appropriato.
UtilizzaAmazon S3 Inventory: Amazon S3 Inventory può essere utilizzato per effettuare audit e report sullo stato di replica e crittografia degli oggetti S3.
Rivedi le autorizzazioni di condivisione Amazon EBS e AMI: le autorizzazioni di condivisione possono consentire la condivisione di immagini e volumi con Account AWS esterni al carico di lavoro.
Rivedi periodicamente le condivisioni di AWS Resource Access Manager per stabilire se le risorse devono continuare ad essere condivise. Resource Access Manager consente di condividere risorse, come le policy del firewall di rete AWS, le regole del resolver Amazon Route 53 e le sottoreti, all'interno dei Amazon VPC. Sottoponi regolarmente a audit le risorse condivise e interrompi la condivisione delle risorse che non devono più essere condivise.

Risorse

Best practice correlate:

Documenti correlati:

AWS KMS Cryptographic Details Whitepaper (Whitepaper sui dettagli crittografici di AWS KMS)
Introduction to Managing Access Permissions to Your Amazon S3 Resources (Introduzione alla gestione delle autorizzazioni di accesso alle risorse di Amazon S3)
Overview of managing access to your AWS KMS resources (Panoramica della gestione dell'accesso alle risorse AWS KMS)
Regole di AWS Config (Regole AWS Config)
Amazon S3 + Amazon CloudFront: A Match Made in the Cloud (Amazon S3 + Amazon CloudFront: un abbinamento perfetto nel cloud)
Utilizzo del controllo delle versioni
Utilizzo del blocco oggetti Amazon S3
Condivisione di uno snapshot Amazon EBS
AMI condivise
Hosting a single-page application on Amazon S3 (Ospitare un'applicazione a pagina singola su Amazon S3)

Video correlati:

Securing Your Block Storage on AWS (Protezione dello storage a blocchi in AWS)

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SEC08-BP03 Automatizzazione della protezione dei dati a riposo

SEC 9. In che modo proteggi i dati in transito?