Melhores práticas de segurança em AWS CloudTrail

AWS CloudTrail fornece vários recursos de segurança a serem considerados ao desenvolver e implementar suas próprias políticas de segurança. As melhores práticas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas melhores práticas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições.

CloudTrail melhores práticas de segurança de detetives

Criar uma trilha

Para um registro contínuo dos eventos em sua AWS conta, você deve criar uma trilha. Embora CloudTrail forneça 90 dias de informações do histórico de eventos para eventos de gerenciamento no CloudTrail console sem criar uma trilha, ele não é um registro permanente e não fornece informações sobre todos os tipos possíveis de eventos. Para um registro contínuo e para um registro que contém todos os tipos de evento especificados, você deve criar uma trilha, que fornece arquivos de log a um bucket do Amazon S3 especificado.

Para ajudar a gerenciar seus CloudTrail dados, considere criar uma trilha que registre todos os eventos de gerenciamento e Regiões da AWS, em seguida, crie trilhas adicionais que registrem tipos de eventos específicos para recursos, como atividades ou AWS Lambda funções do bucket do Amazon S3.

Você pode seguir algumas das etapas abaixo:

• Criar uma trilha para a sua conta AWS .

• Criar uma trilha para uma organização.

Aplique trilhas a todos Regiões da AWS

Para obter um registro completo dos eventos realizados por uma identidade ou serviço do IAM em sua AWS conta, cada trilha deve ser configurada para registrar todos os eventos Regiões da AWS. Ao registrar todos os eventos Regiões da AWS, você garante que todos os eventos que ocorrem em sua AWS conta sejam registrados, independentemente da AWS região em que ocorreram. Isso inclui registrar eventos de serviços globais, que são registrados em uma AWS região específica desse serviço. Quando você cria uma trilha que se aplica a todas as regiões, CloudTrail registra eventos em cada região e entrega os arquivos de log de CloudTrail eventos em um bucket do S3 especificado por você. Se uma região da AWS for adicionada depois que você criar uma trilha que se aplica a todas as regiões, essa nova região será incluída automaticamente, e os eventos nessa região serão registrados. Essa é a opção padrão quando você cria uma trilha no CloudTrail console.

Você pode seguir algumas das etapas abaixo:

• Criar uma trilha para a sua conta AWS .

• Atualizar uma trilha existente para registrar eventos em todas as Regiões da AWS.

• Implemente controles de detetive contínuos para ajudar a garantir que todas as trilhas criadas estejam Regiões da AWS registrando todos os eventos usando a regra multi-region-cloud-trail-enabled in. AWS Config

Habilitar a integridade do arquivo de CloudTrail log

Os arquivos de log validados são valiosos especialmente para segurança e investigações forenses. Por exemplo, um arquivo de log validado permite que você declare positivamente que o arquivo de log não foi alterado ou que determinadas credenciais de identidade do IAM realizaram atividades específicas de API. O processo de validação da integridade do arquivo de CloudTrail log também permite que você saiba se um arquivo de log foi excluído ou alterado, ou afirme positivamente que nenhum arquivo de log foi entregue à sua conta durante um determinado período de tempo. CloudTrail a validação da integridade do arquivo de log usa algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinatura digital. Isso torna computacionalmente inviável modificar, excluir ou CloudTrail falsificar arquivos de log sem detecção. Para ter mais informações, consulte Habilitar a validação e validar arquivos.

Integre com o Amazon CloudWatch Logs

CloudWatch Os registros permitem que você monitore e receba alertas para eventos específicos capturados pelo CloudTrail. Os eventos enviados para o CloudWatch Logs são aqueles configurados para serem registrados por sua trilha, portanto, certifique-se de ter configurado sua trilha ou trilhas para registrar os tipos de eventos (eventos de gerenciamento e/ou eventos de dados) que você tem interesse em monitorar.

Por exemplo, você pode monitorar os principais eventos de segurança e gerenciamento relacionados à rede, como eventos de AWS Management Console login com falha.

Você pode seguir algumas das etapas abaixo:

• Veja exemplos de integrações de CloudWatch registros para CloudTrail.

• Configure sua trilha para enviar eventos para o CloudWatch Logs.

• Considere implementar controles de detetive contínuos para ajudar a garantir que todas as trilhas enviem eventos ao CloudWatch Logs para monitoramento usando a regra cloud-trail-cloud-watch-logs-enabled em. AWS Config

Use AWS Security Hub

Monitore seu uso das CloudTrail melhores práticas de segurança no que se refere às melhores práticas de segurança usando AWS Security Hub. O Security Hub usa controles de segurança detetives para avaliar configurações de recursos e padrões de segurança que ajudam você a cumprir vários frameworks de conformidade. Para obter mais informações sobre como usar o Security Hub para avaliar CloudTrail recursos, consulte AWS CloudTrail os controles no Guia AWS Security Hub do Usuário.

CloudTrail melhores práticas de segurança preventiva

As práticas recomendadas a seguir CloudTrail podem ajudar a evitar incidentes de segurança.

Registrar em log em um bucket do Amazon S3 centralizado e dedicado

CloudTrail os arquivos de log são um registro de auditoria das ações realizadas por uma identidade ou AWS serviço do IAM. A integridade, integridade e disponibilidade desses logs é essencial para fins de auditoria e forenses. Ao fazer login em um bucket do Amazon S3 centralizado e dedicado, você pode impor rigorosos controles de segurança, acesso e separação de tarefas.

Você pode seguir algumas das etapas abaixo:

• Crie uma AWS conta separada como uma conta de arquivamento de registros. Se você usa AWS Organizations, inscreva essa conta na organização e considere criar uma trilha organizacional para registrar dados de todas as AWS contas em sua organização.

• Se você não usa Organizations, mas deseja registrar dados de várias AWS contas, crie uma trilha para registrar atividades nessa conta de arquivamento de registros. Restrinja o acesso a essa conta apenas a usuários administrativos confiáveis que devem ter acesso aos dados de conta e auditoria.

• Como parte da criação de uma trilha, seja uma trilha organizacional ou uma trilha para uma única AWS conta, crie um bucket Amazon S3 dedicado para armazenar arquivos de log dessa trilha.

• Se você quiser registrar a atividade de mais de uma AWS conta, modifique a política do bucket para permitir o registro e o armazenamento de arquivos de log de todas as AWS contas nas quais você deseja registrar a atividade AWS da conta.

• Se você não estiver usando uma trilha de organização, crie trilhas em todas as suas contas da AWS , especificando o bucket do Amazon S3 na conta do arquivo de log.

Use criptografia do lado do servidor com chaves gerenciadas AWS KMS

Por padrão, os arquivos de log entregues CloudTrail ao seu bucket do S3 são criptografados usando criptografia do lado do servidor com uma chave KMS (SSE-KMS). Para usar o SSE-KMS CloudTrail, você cria e gerencia uma AWS KMS key, também conhecida como chave KMS.

nota

Se você usar o SSE-KMS e a validação do arquivo de log e tiver modificado a política de bucket do Amazon S3 para permitir apenas arquivos criptografados pelo SSE-KMS, não será possível criar trilhas que utilizam esse bucket, a menos que você modifique a política de bucket para permitir a criptografia AES256 especificamente, como mostrado no seguinte exemplo de linha de política.

"StringNotEquals": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] } 

Você pode seguir algumas das etapas abaixo:

• Analise as vantagens de criptografar seus arquivos de log com SSE-KMS.

• Crie uma chave do KMS a ser usada para criptografar arquivos de log.

• Configure a criptografia de arquivos de log das suas trilhas.

• Considere implementar controles de detetive contínuos para ajudar a garantir que todas as trilhas estejam criptografando arquivos de log com SSE-KMS usando a regra em. cloud-trail-encryption-enabled AWS Config

Adicionar uma chave de condição à política de tópicos padrão do Amazon SNS

Quando você configura uma trilha para enviar notificações para o Amazon SNS, CloudTrail adiciona uma declaração de política à sua política de acesso a tópicos do SNS que permite enviar conteúdo CloudTrail para um tópico do SNS. Como prática recomendada de segurança, recomendamos adicionar uma chave de condição aws:SourceArn (ou opcionalmenteaws:SourceAccount) à declaração CloudTrail de política. Isso ajuda a impedir o acesso não autorizado da conta ao tópico do SNS. Para ter mais informações, consulte Política de tópicos do Amazon SNS para CloudTrail.

Implementar o acesso com privilégio mínimo a buckets do Amazon S3 em que os arquivos de log são armazenados

CloudTrail trilhas registram eventos em um bucket do Amazon S3 que você especificar. Esses arquivos de log contêm um registro de auditoria das ações tomadas pelas identidades e AWS serviços do IAM. A integridade e a integridade desses arquivos de log de auditoria são essenciais para fins forenses. Para ajudar a garantir essa integridade, você deve seguir o princípio do privilégio mínimo ao criar ou modificar o acesso a qualquer bucket do Amazon S3 usado para CloudTrail armazenar arquivos de log.

Siga as seguintes etapas:

• Revise a política de bucket do Amazon S3 para qualquer bucket em que você armazena arquivos de log e ajuste-o, se necessário, para remover o acesso desnecessário. Essa política de bucket será gerada para você se você criar uma trilha usando o CloudTrail console, mas também poderá ser criada e gerenciada manualmente.

• Como uma prática recomendada de segurança, certifique-se de adicionar manualmente uma aws:SourceArn chave de condição para a política de bucket. Para ter mais informações, consulte Política de bucket do Amazon S3 para CloudTrail.

• Se você estiver usando o mesmo bucket do Amazon S3 para armazenar arquivos de log de várias AWS contas, siga as orientações para receber arquivos de log de várias contas.

• Se você estiver usando uma trilha de organização, siga a orientação para trilhas de organização e revise a política de exemplo para um bucket do Amazon S3 para uma trilha de organização em Criando uma trilha para uma organização com o AWS Command Line Interface.

• Revise a documentação de segurança do Amazon S3 e a demonstração de exemplo para proteger um bucket.

Habilitar a exclusão de MFA no bucket do Amazon S3 em que os arquivos de log são armazenados

Quando a autenticação multifator (MFA) está configurada, quaisquer tentativas de alterar o estado de versionamento do bucket ou excluir permanentemente uma versão de objeto de um bucket exige autenticação adicional. Assim, mesmo que um usuário obtenha a senha de um usuário do IAM com permissões para excluir permanentemente objetos do Amazon S3, você ainda poderá prevenir operações que poderiam comprometer seus arquivos de log.

Você pode seguir algumas das etapas abaixo:

• Consulte as diretrizes de exclusão de MFA no Guia do usuário do Amazon Simple Storage Service.

• Adicione uma política de bucket do Amazon S3 para exigir MFA.

nota

Não é possível usar a exclusão de MFA com configurações de ciclo de vida. Para obter mais informações sobre as configurações de ciclo de vida e como elas interagem com outras configurações, consulte as Configurações de ciclo de vida e outras configurações de bucket no Guia do usuário do Amazon Simple Storage Service.

Configurar o gerenciamento de ciclo de vida de objetos no bucket do Amazon S3 em que os arquivos de log são armazenados

O padrão da CloudTrail trilha é armazenar arquivos de log indefinidamente no bucket do Amazon S3 configurado para a trilha. Você pode usar as regras de gerenciamento de ciclo de vida de objetos do Amazon S3 para definir sua própria política de retenção para melhor atender às suas necessidades de negócios e auditoria. Por exemplo, você pode arquivar arquivos de log que têm mais de um ano no Amazon Glacier ou excluir os arquivos de log depois de um determinado período.

nota

A configuração do ciclo de vida em buckets habilitados para autenticação multifator (MFA) não é suportada.

Limitar o acesso à AWSCloudTrail_FullAccess política

Os usuários com a AWSCloudTrail_FullAccesspolítica podem desativar ou reconfigurar as funções de auditoria mais confidenciais e importantes em suas AWS contas. Essa política não se destina a ser compartilhada ou aplicada amplamente às identidades do IAM em sua AWS conta. Limite a aplicação dessa política ao menor número possível de pessoas, aquelas que você espera que atuem como administradores AWS da conta.