SEC01-BP02 Utente root e proprietà dell'account sicuro

L'utente root è la figura più privilegiata di un Account AWS, ha pieno accesso amministrativo a tutte le risorse dell'account e, in alcuni casi, non può essere limitato dalle policy di sicurezza. Disattivare l'accesso programmatico all'utente root, stabilire controlli appropriati per l'utente root ed evitare l'uso di routine dell'utente root aiuta a ridurre il rischio di esposizione involontaria delle credenziali root e la conseguente compromissione dell'ambiente cloud.

Risultato desiderato: proteggere l'utente root riduce la possibilità di danni accidentali o intenzionali dovuti all'uso improprio delle credenziali dell'utente root. La creazione di controlli investigativi può anche permettere di avvisare il personale appropriato quando vengono eseguite azioni utilizzando l'utente root.

Anti-pattern comuni:

• Utilizzo dell'utente root per attività diverse da quelle che richiedono le proprie credenziali. 

• Nessun test dei piani di emergenza su base regolare per verificare il funzionamento di infrastrutture critiche, processi e personale durante un'emergenza.

• Analisi limitata al tipico flusso di accesso all'account, trascurando di considerare o testare metodi alternativi di ripristino dell'account.

• Nessuna gestione di DNS, server di posta elettronica e provider telefonici come parte del perimetro di sicurezza critico, in quanto utilizzati nel flusso di recupero degli account.

Vantaggi dell'adozione di questa best practice: proteggere l'accesso all'utente root aumenta la sicurezza circa controlli e audit delle azioni nell'account

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

AWS offre molti strumenti per proteggere gli account. Tuttavia, poiché alcune di queste misure non sono attivate per impostazione predefinita, è necessario intervenire direttamente per implementarle. Queste raccomandazioni costituiscono i passi fondamentali per mettere in sicurezza il proprio Account AWS. Durante l'implementazione di questi passaggi, è importante creare un processo di valutazione e monitoraggio continuo dei controlli di sicurezza.

La prima creazione di un Account AWS parte con una singola identità che ha accesso completo a tutti i servizi e risorse AWS presenti nell'account. Questa identità è chiamata utente root dell'Account AWS. Puoi accedere come utente root utilizzando l'indirizzo e-mail e la password usati per creare l'account. A causa dell'accesso elevato concesso all'utente root AWS, è necessario limitare l'uso dell'utente root AWS all'esecuzione di attività che lo richiedano nello specifico. Le credenziali di accesso dell'utente root devono essere tenute sotto stretta sorveglianza e l'autenticazione a più fattori (MFA) deve essere sempre utilizzata per l'utente root dell'Account AWS.

Oltre al normale flusso di autenticazione per accedere all'utente root utilizzando un nome utente, una password e un dispositivo di autenticazione a più fattori (MFA), esistono flussi di recupero dell'account che consentono di accedere all'utente root dell'Account AWS grazie all'accesso all'indirizzo e-mail e al numero di telefono associati all'account. Pertanto, è altrettanto importante proteggere l'account e-mail dell'utente root a cui vengono inviati l'e-mail di recupero e il numero di telefono associato all'account. Prendi anche in considerazione le potenziali dipendenze circolari, quando l'indirizzo e-mail associato all'utente root è ospitato su server di posta elettronica o su risorse del servizio dei nomi di dominio (DNS) dello stesso Account AWS.

Quando si utilizza AWS Organizations, esistono più Account AWS, ciascuno con un utente root. Un account è designato come account di gestione e sotto l'account di gestione è possibile aggiungere diversi livelli di account membri. La priorità è proteggere l'utente root dell'account di gestione, quindi occuparsi degli utenti root degli account membri. La strategia per la protezione dell'utente root dell'account di gestione può essere diversa da quella degli utenti root degli account membri ed è possibile effettuare controlli di sicurezza preventivi sugli utenti root degli account membri.

Passaggi dell'implementazione

Per stabilire i controlli per l'utente root, si consigliano i seguenti passaggi di implementazione. Ove applicabile, le raccomandazioni devono essere confrontate con la versione 1.4.0 del benchmark CIS AWS Foundations. Oltre a questi passaggi, consulta le linee guida sulle best practice AWS per proteggere il tuo account Account AWS e le tue risorse.

Controlli preventivi

1. Imposta informazioni di contatto precise per l'account.

   1. Queste informazioni vengono utilizzate per il flusso di recupero della password persa, per il flusso di recupero dell'account del dispositivo MFA perso e per le comunicazioni critiche relative alla sicurezza con il team.

   2. Utilizza un indirizzo e-mail ospitato dal dominio aziendale, preferibilmente una lista di distribuzione, come indirizzo e-mail dell'utente root. L'utilizzo di una lista di distribuzione anziché l'account e-mail di un singolo individuo offre una maggiore ridondanza e continuità di accesso all'account root per lunghi periodi di tempo.

   3. Il numero di telefono indicato nelle informazioni di contatto deve essere dedicato e sicuro per questo scopo. Il numero di telefono non deve essere indicato o condiviso con nessuno.

2. Non creare chiavi di accesso per l'utente root. Se sono presenti chiavi di accesso, rimuovile (CIS 1.4).

   1. Elimina le credenziali programmatiche a lunga durata (chiavi di accesso e segrete) per l'utente root.

   2. Se esistono già chiavi di accesso dell'utente root, fai in modo che i processi che utilizzano tali chiavi passino all'utilizzo di chiavi di accesso temporanee provenienti da un ruolo (IAM) AWS Identity and Access Management, quindi elimina le chiavi di accesso dell'utente root.

3. Stabilisci se è necessario memorizzare le credenziali per l'utente root.

   1. Se utilizzi AWS Organizations per creare nuovi account membri, la password iniziale dell'utente root sui nuovi account membro è impostata su un valore casuale che non è visibile a te. Prendi in considerazione l'utilizzo del flusso di reimpostazione della password del tuo account di gestione AWS Organization per accedere all'account membro, se necessario.

   2. Per gli Account AWS standalone o per l'account di gestione di AWS Organization, considera la creazione e l'archiviazione sicura delle credenziali per l'utente root. Usa MFA per l'utente root.

4. Usa i controlli preventivi per gli utenti root degli account membri in ambienti AWS multi-account.

   1. Prendi in considerazione l'utilizzo del guardrail preventivo Disallow Creation of Root Access Keys for Root User per gli account membri.

   2. Prendi in considerazione l'utilizzo del guardrail preventivo Disallow Actions as a Root User per gli account membri.

5. Se sono necessarie le credenziali per l'utente root:

   1. Utilizza una password complessa.

   2. Attiva l'autenticazione a più fattori (MFA) per l'utente root, in particolare per gli account dei manager (paganti) AWS Organizations (CIS 1.5).

   3. Prendi in considerazione i dispositivi MFA hardware per la resilienza e la sicurezza, in quanto i dispositivi monouso possono ridurre le possibilità che i dispositivi contenenti i codici MFA vengano riutilizzati per altri scopi. Verifica che i dispositivi hardware MFA alimentati da una batteria siano sostituiti regolarmente. (CIS 1.6)

      • Per configurare l'MFA per l'utente root, segui le istruzioni per creare un dispositivo MFA virtuale o un dispositivo MFA hardware.

   4. Prendi in considerazione la registrazione di più dispositivi MFA per il backup. Sono consentiti fino a 8 dispositivi MFA per account.

      • Tieni presente che la registrazione di più di un dispositivo MFA per l'utente root disattiva in automatico il flusso per il recupero dell'account in caso di smarrimento del dispositivo MFA.

   5. Conserva la password in modo sicuro e considera le dipendenze circolari se la password viene conservata elettronicamente. Non memorizzare la password in modo tale da richiedere l'accesso allo stesso Account AWS per ottenerla.

6. Facoltativo: valuta la possibilità di stabilire un programma di rotazione periodica delle password per l'utente root.

   • Le best practice per la gestione delle credenziali dipendono dai requisiti normativi e di policy. Gli utenti root protetti da MFA non dipendono dalla password come unico fattore di autenticazione.

   • La modifica periodica della password dell'utente root riduce il rischio di utilizzo improprio di una password esposta inavvertitamente.

Controlli di rilevamento

• Crea allarmi per rilevare l'uso delle credenziali root (CIS 1.7). Amazon GuardDuty può monitorare e inviare avvisi sull'utilizzo delle credenziali API dell'utente root tramite l'esito RootCredentialUsage.

• Valuta e implementa i controlli investigativi inclusi nel pacchetto di conformità del pilastro della sicurezza AWS Well-Architected per AWS Config o, in caso di utilizzo di AWS Control Tower, i controlli fortemente consigliati disponibili in Control Tower.

Guida operativa

• Stabilisci chi nell'organizzazione deve avere accesso alle credenziali dell'utente root.

  • Utilizza una regola a due persone, in modo che nessun individuo abbia accesso a tutte le credenziali necessarie e all'MFA per ottenere l'accesso come utente root.

  • Verifica che l'organizzazione, e non un singolo individuo, mantenga il controllo sul numero di telefono e sull'alias e-mail associati all'account (utilizzati per il ripristino della password e il flusso di ripristino MFA).

• Utilizza l'utente root solo in via eccezionale (CIS 1.7).

  • L'utente root AWS non deve essere utilizzato per le attività giornaliere e nemmeno per quelle amministrative. Effettua l'accesso come utente root solo per eseguire attività AWS che richiedono l'utente root. Tutte le altre azioni devono essere eseguite da altri utenti che assumono i ruoli appropriati.

• Verifica periodicamente che l'accesso all'utente root sia funzionante, in modo da testare le procedure prima di una situazione di emergenza che richieda l'uso delle credenziali dell'utente root.

• Verifica a intervalli regolari il funzionamento dell'indirizzo e-mail associato all'account e quelli indicati nei contatti alternativi. Monitora queste caselle di posta elettronica per le notifiche di sicurezza che potresti ricevere da <abuse@amazon.com>. Assicurati inoltre che i numeri di telefono associati all'account siano attivi.

• Prepara procedure di risposta agli incidenti per rispondere all'uso improprio dell'account root. Consulta la AWS Security Incident Response Guide e le best practice nella sezione Risposta agli imprevisti del whitepaper sul pilastro della sicurezza per ulteriori informazioni circa la creazione di una strategia di risposta agli incidenti adatta al tuo Account AWS.

Risorse

Best practice correlate:

• SEC01-BP01 Separazione dei carichi di lavoro tramite account

• SEC02-BP01 Utilizzo di meccanismi di accesso efficaci

• SEC03-BP02 Concessione dell'accesso con privilegio minimo

• SEC03-BP03 Determinazione di un processo per l'accesso di emergenza

• SEC10-BP05 Preassegnazione dell'accesso

Documenti correlati:

• AWS Control Tower

• Linee guida AWS sugli audit di sicurezza

• Best practice di IAM

• Amazon GuardDuty: avviso di utilizzo delle credenziali root

• Step-by-step guidance on monitoring for root credential use through CloudTrail

• MFA tokens approved for use with AWS

• Implementazione di break glass access su AWS

• Top 10 security items to improve in your Account AWS

• What do I do if I notice unauthorized activity in my Account AWS?

Video correlati:

• Organizing Your AWS Environment Using Multiple Accounts

• Security Best Practices the Well-Architected Way

• Limiting use of AWS root credentials from AWS re:inforce 2022 – Security best practices with AWS IAM

Esempi e lab correlati:

• Lab: Account AWS setup and root user