Melhores práticas de segurança no AWS CloudTrail - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Melhores práticas de segurança no AWS CloudTrail

O AWS CloudTrail fornece uma série de recursos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As melhores práticas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes no seu ambiente, trate-as como considerações úteis em vez de requisitos.

Melhores práticas de segurança preventiva do CloudTrail

Criar uma trilha

Para obter um registro contínuo de eventos em sua conta da AWS, crie uma trilha. Embora o CloudTrail forneça 90 dias de informações de histórico de eventos para eventos de gerenciamento no console do CloudTrail sem criar uma trilha, ele não é um registro permanente e não fornece informações sobre todos os possíveis tipos de evento. Para um registro contínuo e para um registro que contém todos os tipos de evento especificados, você deve criar uma trilha, que fornece arquivos de log a um bucket do Amazon S3 especificado.

Para ajudar a gerenciar seus dados do CloudTrail, considere a criação de uma trilha que registra eventos de gerenciamento em todas as regiões da AWS e, em seguida, a criação de trilhas adicionais que registram tipos de evento específicos para recursos, como a atividade do bucket do Amazon S3 ou funções do AWS Lambda.

Você pode seguir algumas das etapas abaixo:

Aplicar trilhas a todas as regiões daAWS

Para obter um registro completo de eventos realizados por um usuário, função ou serviço em sua conta da AWS, cada trilha deve ser configurada para registrar eventos em todas as regiões da AWS. Ao registrar eventos em todas as regiões da AWS, você garante que todos os eventos que ocorrem em sua conta da AWS sejam registrados, independentemente da região da AWS em que ocorreu. Isso inclui o registro de eventos de serviço globais, que são registrados em uma região da AWS específica para esse serviço. Quando você cria uma trilha que se aplica a todas as regiões, CloudTrail registra os eventos em cada região e fornece os arquivos de log de eventos CloudTrail a um bucket do S3 especificado por você. Se for adicionada alguma região da AWS depois que você criar uma trilha que se aplica a todas as regiões, essa nova região será incluída automaticamente, e os eventos nessa região serão registrados. Essa é a opção padrão quando você cria uma trilha no console CloudTrail.

Você pode seguir algumas das etapas abaixo:

Habilitar a integridade dos arquivos de log doCloudTrail

Os arquivos de log validados são valiosos especialmente para segurança e investigações forenses. Por exemplo, um arquivo de log validado permite que você declare positivamente que o arquivo de log não foi alterado ou que determinadas credenciais de usuário realizaram atividades específicas de API. O processo de validação da integridade dos arquivos de log do CloudTrail também permite que você saiba se um arquivo de log foi excluído ou alterado ou declare positivamente que nenhum arquivo de log foi fornecido à sua conta durante um determinado período. A validação da integridade dos arquivos de log do CloudTrail usa algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinatura digital. Isso torna computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detecção. Para obter mais informações, consulte Ativar a validação e validar arquivos.

Integrar ao Amazon CloudWatch Logs

O CloudWatch Logs permite que você monitore e receba alertas para eventos específicos capturados pelo CloudTrail. Os eventos enviados para o CloudWatch Logs são aqueles configurados para serem registrados por sua trilha, portanto, certifique-se de que você tenha configurado a trilha ou as trilhas para registrar os tipos de evento (eventos de gerenciamento e/ou eventos de dados) que deseja monitorar.

Por exemplo, você pode monitorar eventos de gerenciamento relacionados a rede e segurança de chave, como eventos de login do console da AWS com falhae alterações em instâncias do Amazon EC2 como iniciar, excluir e reiniciar instâncias.

Você pode seguir algumas das etapas abaixo:

Melhores práticas de segurança do CloudTrail

As seguintes práticas recomendadas do CloudTrail podem ajudar a evitar incidentes de segurança.

Registrar em um bucket do Amazon S3 centralizado e dedicado

Os arquivos de log do CloudTrail são um log de auditoria de ações executadas por um usuário, uma função ou um serviço da AWS. A integridade, integridade e disponibilidade desses logs é essencial para fins de auditoria e forenses. Ao fazer login em um bucket do Amazon S3 centralizado e dedicado, você pode impor rigorosos controles de segurança, acesso e separação de tarefas.

Você pode seguir algumas das etapas abaixo:

  • Crie uma conta separada da AWS como uma conta de arquivo de log. Se você usar o AWS Organizations, inscreva essa conta na organização e considere a criação de uma trilha da organização para registrar os dados de todas as contas da AWS na sua organização.

  • Se você não usar o Organizações, mas quiser registrar dados para várias contas da AWS, crie uma trilha para registrar atividades nessa conta de arquivo de log. Restrinja o acesso a essa conta apenas a usuários administrativos confiáveis que devem ter acesso aos dados de conta e auditoria.

  • Como parte da criação de uma trilha, seja uma trilha da organização ou uma trilha para uma única conta da AWS, crie um bucket do Amazon S3 dedicado para armazenar arquivos de log para essa trilha.

  • Se você deseja registrar atividades para mais de uma conta da AWS, modifique a política de bucket para permitir o registro e o armazenamento de arquivos de log para todas as contas da AWS que você deseja registrar a atividade da conta da AWS.

  • Se você não estiver usando uma trilha de organização, crie trilhas em todas as suas contas da AWS, especificando o bucket do Amazon S3 na conta do arquivo de log.

Usar criptografia no lado do servidor com chaves gerenciadas peloAWS KMS

Por padrão, os arquivos de log entregues pelo CloudTrail ao seu bucket são criptografados pela criptografia do servidor da Amazon com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3). Para fornecer uma layer de segurança diretamente gerenciável, você pode usar a criptografia do servidor com chaves gerenciadas do AWS KMS (SSE-KMS) para os arquivos de log do CloudTrail. Para usar o SSE-KMS com o CloudTrail, crie e gerencie uma chave do KMS, também conhecida como chave mestra do cliente (CMK).

nota

Se você usar o SSE-KMS e a validação do arquivo de log e tiver modificado a política de bucket do Amazon S3 para permitir apenas arquivos criptografados pelo SSE-KMS, não será possível criar trilhas que utilizam esse bucket, a menos que você modifique a política de bucket para permitir a criptografia AES256 especificamente, como mostrado no seguinte exemplo de linha de política.

"StringNotEquals": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] }

Você pode seguir algumas das etapas abaixo:

Implementar o privilégio de acesso mínimo em buckets do Amazon S3 onde você armazena os arquivos de log

As trilhas do CloudTrail registram eventos em um bucket do Amazon S3 que você especifica. Esses arquivos de log contêm um log de auditoria de ações executadas por usuários, funções e serviços da AWS. A integridade e a integridade desses arquivos de log de auditoria são essenciais para fins forenses. Para ajudar a garantir essa integridade, você deve aderir ao princípio do privilégio mínimo ao criar ou modificar o acesso a qualquer bucket do Amazon S3 usado para o armazenamento de arquivos de log do CloudTrail.

Você pode seguir algumas das etapas abaixo:

Habilitar a exclusão de MFA no bucket do Amazon S3 onde você armazena os arquivos de log

Configurar a autenticação multifator (MFA) garante que qualquer tentativa de alterar o estado de versionamento do seu bucket ou excluir permanentemente uma versão do objeto exija uma autenticação adicional. Isso ajuda a evitar qualquer operação que possa comprometer a integridade de seus arquivos de log, mesmo que um usuário adquira a senha de um usuário do IAM que tem permissões para excluir permanentemente objetos do Amazon S3.

Você pode seguir algumas das etapas abaixo:

Configurar o gerenciamento de ciclo de vida de objetos no bucket do Amazon S3 onde você armazena os arquivos de log

O padrão de trilha do CloudTrail é armazenar os arquivos de log indefinidamente no bucket do Amazon S3 configurado para a trilha. Você pode usar as regras de gerenciamento de ciclo de vida de objetos do Amazon S3 para definir sua própria política de retenção para melhor atender às suas necessidades de negócios e auditoria. Por exemplo, você pode arquivar arquivos de log que têm mais de um ano no Amazon Glacier ou excluir os arquivos de log depois de um determinado período.

Limitar o acesso à política doAWSCloudTrailFullAccess

Os usuários com a política AWSCloudTrailFullAccess têm a capacidade de desabilitar ou reconfigurar as funções de auditoria mais confidenciais e importantes em suas contas da AWS. Essa política não deve ser compartilhada ou aplicada globalmente para usuários e funções na sua conta da AWS. Limite a aplicação dessa política ao menor número de indivíduos possível, aqueles que você espera que atuem como administradores de conta da AWS.