SEC08-BP04 Applicazione del controllo degli accessi

Per proteggere i dati a riposo, applica il controllo degli accessi utilizzando meccanismi come l'isolamento e il controllo delle versioni, quindi applica il principio del privilegio minimo. Impedisci l'accesso pubblico ai dati.

Risultato desiderato: possibilità di verificare che l'accesso ai dati sia consentito solo agli utenti autorizzati, in base alle necessità. La protezione dei dati è assicurata da backup regolari e dal controllo delle versioni, per evitare che la modifica dei dati o la loro eliminazione intenzionale o non voluta. L'isolamento dei dati critici dagli altri dati ne protegge la riservatezza e l'integrità.

Anti-pattern comuni:

• Archiviazione dei dati con requisiti di sensibilità o classificazione diversi.

• Utilizzo di autorizzazioni troppo permissive sulle chiavi di decrittografia.

• Classificazione impropria dei dati.

• Nessun mantenimento di backup dettagliati dei dati importanti.

• Accesso persistente ai dati di produzione.

• Nessun audit dell'accesso ai dati o revisione periodica delle autorizzazioni.

Livello di rischio associato se questa best practice non fosse adottata: basso

Guida all'implementazione

È possibile garantire la protezione dei dati a riposo mediante diversi controlli, tra cui l'accesso (utilizzando il privilegio minimo), l'isolamento e il controllo delle versioni. L'accesso ai dati deve essere soggetto ad audit mediante meccanismi di rilevamento, come AWS CloudTrail, e log sul livello di servizio, come i log di accesso di Amazon Simple Storage Service (Amazon S3). Dovresti fare un inventario dei dati accessibili al pubblico e creare un piano per ridurre la quantità di dati disponibili al pubblico nel tempo.

Amazon S3 Glacier Vault Lock e Amazon S3 Object Lock forniscono un controllo di accesso obbligatorio per gli oggetti in Amazon S3: una volta bloccata con l'opzione di conformità, una policy di vault non può essere modificata nemmeno dall'utente root fino alla scadenza del blocco.

Passaggi dell'implementazione

• Applica il controllo degli accessi: applica il controllo degli accessi con privilegio minimo, incluso l'accesso alle chiavi di crittografia.

• Separa i dati in base a diversi livelli di classificazione: usa diversi Account AWS per i livelli di classificazione dei dati e gestisci questi account mediante AWS Organizations.

• Rivedi le policy AWS Key Management Service (AWS KMS): rivedi il livello di accesso consentito nelle policy di AWS KMS.

• Rivedi bucket Amazon S3 e autorizzazioni degli oggetti: rivedi con regolarità il livello di accesso concesso nelle policy dei bucket S3. La best practice è evitare di utilizzare bucket leggibili o scrivibili pubblicamente. Valuta l'utilizzo di AWS Config per rilevare i bucket disponibili pubblicamente e di Amazon CloudFront per fornire contenuti provenienti da Amazon S3. Verifica che i bucket che non consentono l'accesso pubblico siano configurati correttamente per impedirlo. Per impostazione predefinita, tutti i bucket S3 sono privati e possono accedervi soltanto gli utenti a cui è stato esplicitamente accordato l'accesso.

• Usa AWS IAM Access Analyzer: IAM Access Analyzer analizza i bucket Amazon S3 e genera un esito quando una policy S3 concede l'accesso a un'entità esterna.

• Utilizza il controllo delle versioni di Amazon S3 e il blocco degli oggetti quando opportuno.

• Usa l'Inventario Amazon S3: l'Inventario Amazon S3 è uno degli strumenti che puoi utilizzare per eseguire audit e segnalare lo stato di replica e crittografia dei tuoi oggetti S3.

• Esamina autorizzazioni di condivisione AMI e Amazon EBS: le autorizzazioni di condivisione consentono la condivisione di immagini e volumi con Account AWS esterni al tuo carico di lavoro.

• Rivedi periodicamente le condivisioni di AWS Resource Access Manager per determinare se le risorse devono continuare a essere condivise. Resource Access Manager consente di condividere risorse, come le policy del firewall di rete AWS, le regole del risolutore Amazon Route 53 e le sottoreti, all'interno di VPC Amazon. Sottoponi regolarmente a audit le risorse condivise e interrompi la condivisione delle risorse che non devono più essere condivise.

Risorse

Best practice correlate:

• SEC03-BP01 Definizione dei requisiti di accesso

• SEC03-BP02 Concessione dell'accesso con privilegio minimo

Documenti correlati:

• AWS KMS Cryptographic Details Whitepaper

• Introduzione alla gestione delle autorizzazioni di accesso alle risorse di Amazon S3

• Panoramica della gestione dell'accesso alle risorse AWS KMS

• Regole di AWS Config

• Amazon S3 + Amazon CloudFront: A Match Made in the Cloud

• Utilizzo del controllo delle versioni

• Blocco degli oggetti mediante Object Lock di Amazon S3

• Sharing an Amazon EBS Snapshot

• AMI condivise

• Ospitare un'applicazione a pagina singola su Amazon S3

Video correlati:

• Securing Your Block Storage on AWS