Restringir privilégios administrativos

Controle Essential Eight	Orientação para implementação	AWS recursos	AWS Orientação do Well-Architected
As solicitações de acesso privilegiado a sistemas e aplicativos são validadas quando solicitadas pela primeira vez.	Tema 4: Gerenciar identidades: Implementar federação de identidades	Exija que os usuários humanos se federem com um provedor de identidade para acessar AWS usando credenciais temporárias	SEC02-BP04 Confiar em um provedor de identidades centralizado SEC03-BP01 Definir requisitos de acesso
O acesso privilegiado a sistemas e aplicativos é automaticamente desativado após 12 meses, a menos que seja revalidado.	Tema 4: Gerenciar identidades: Implementar federação de identidades	Exija que os usuários humanos se federem com um provedor de identidade para acessar AWS usando credenciais temporárias	SEC02-BP04 Confiar em um provedor de identidades centralizado
	Tema 4: Gerenciar identidades: Alterne as credenciais	Exija que as cargas de trabalho usem funções do IAM para acessar AWS Automatize a exclusão de funções do IAM não utilizadas Alterne as chaves de acesso regularmente para casos de uso que exijam credenciais de longo prazo AWS Summit ANZ 2023: Sua jornada para credenciais temporárias na nuvem (YouTube vídeo)	SEC02-BP05 Auditar e fazer a rotação das credenciais periodicamente
O acesso privilegiado a sistemas e aplicativos é automaticamente desativado após 45 dias de inatividade.	Tema 4: Gerenciar identidades: Implementar federação de identidades Tema 4: Gerenciar identidades: Alterne as credenciais	Exija que os usuários humanos se federem com um provedor de identidade para acessar AWS usando credenciais temporárias Exija que as cargas de trabalho usem funções do IAM para acessar AWS Automatize a exclusão de funções do IAM não utilizadas Alterne as chaves de acesso regularmente para casos de uso que exijam credenciais de longo prazo AWS Summit ANZ 2023: Sua jornada para credenciais temporárias na nuvem (YouTube vídeo)	SEC02-BP04 Confiar em um provedor de identidades centralizado SEC02-BP05 Auditar e fazer a rotação das credenciais periodicamente
O acesso privilegiado a sistemas e aplicativos é limitado apenas ao que é necessário para que usuários e serviços realizem suas tarefas.	Tema 4: Gerenciar identidades: aplique permissões de privilégio mínimo	Proteja suas credenciais de usuário root e não as use para tarefas diárias Use o IAM Access Analyzer para gerar políticas de privilégios mínimos com base na atividade de acesso Verifique o acesso público e entre contas aos recursos com o IAM Access Analyzer Use o IAM Access Analyzer para validar suas políticas do IAM para obter permissões seguras e funcionais Estabeleça barreiras de permissões em várias contas Use limites de permissões para definir o máximo de permissões que uma política baseada em identidade pode conceder Use condições nas políticas do IAM para restringir ainda mais o acesso Revise e remova regularmente usuários, funções, permissões, políticas e credenciais não utilizados Comece com políticas AWS gerenciadas e adote permissões com privilégios mínimos Use o recurso de conjuntos de permissões no IAM Identity Center	SEC01-BP02 Usuário raiz e propriedades da conta segura SEC03-BP02 Conceder acesso de privilégio mínimo
Contas privilegiadas são impedidas de acessar a Internet, e-mail e serviços da web.	Veja o exemplo técnico: Restringir privilégios administrativos (site do ACSC)	Considere implementar um SCP que impeça que qualquer VPC que ainda não tenha acesso à Internet o obtenha	Não aplicável
Usuários privilegiados usam ambientes operacionais privilegiados e não privilegiados separados.	Tema 5: Estabelecer um perímetro de dados	Estabeleça um perímetro de dados. Considere implementar perímetros de dados entre ambientes de diferentes classificações de dados, como `OFFICIAL:SENSITIVE` ou`PROTECTED`, ou diferentes níveis de risco, como desenvolvimento, teste ou produção.	SEC06-BP03 Reduzir o gerenciamento manual e o acesso interativo
Ambientes operacionais privilegiados não são virtualizados em ambientes operacionais sem privilégios.
Contas sem privilégios não podem fazer login em ambientes operacionais privilegiados.
Contas privilegiadas (excluindo contas de administrador local) não podem fazer login em ambientes operacionais sem privilégios.
Just-in-time a administração é usada para administrar sistemas e aplicativos.	Tema 4: Gerenciar identidades: Implementar federação de identidades	Exija que os usuários humanos se federem com um provedor de identidade para acessar AWS usando credenciais temporárias Implemente acesso elevado temporário aos seus AWS ambientes (postagem AWS no blog)	SEC02-BP04 Confiar em um provedor de identidades centralizado
As atividades administrativas são conduzidas por meio de servidores de salto.	Tema 1: Usar serviços gerenciados Tema 3: Gerenciar infraestrutura mutável com automação: Use automação em vez de processos manuais	Use o Gerenciador de Sessões ou Execute o Comando em vez do acesso direto por SSH ou RDP	SEC01-BP05 Reduza o escopo do gerenciamento de segurança SEC06-BP03 Reduzir o gerenciamento manual e o acesso interativo
As credenciais para contas de administrador e contas de serviço locais são exclusivas, imprevisíveis e gerenciadas.	Veja o exemplo técnico: Restringir privilégios administrativos (site do ACSC)	Não aplicável	Não aplicável
Windows Defender Credential Guard and Windows Defender Remote Credential Guard estão habilitados.		Não aplicável	Não aplicável
O uso do acesso privilegiado é registrado centralmente e protegido contra modificações e exclusões não autorizadas, monitorado em busca de sinais de comprometimento e acionado quando eventos de segurança cibernética são detectados.	Tema 7: Centralizar o registro e o monitoramento: Ativar registro Tema 7: Centralizar o registro e o monitoramento: Centralize os registros	Use o CloudWatch Agente para publicar registros no nível do sistema operacional no Logs CloudWatch Habilite CloudTrail para sua organização Centralize CloudWatch os registros em uma conta para auditoria e análise (AWS postagem no blog) Centralize o gerenciamento do Amazon Inspector Centralize o gerenciamento do Security Hub Crie um agregador para toda a organização em AWS Config (postagem do blog)AWS Centralize o gerenciamento de GuardDuty Considere usar o Amazon Security Lake Receba CloudTrail registros de várias contas Enviar registros para uma conta de arquivamento de registros	SEC04-BP01 Configurar o registro em log de serviços e aplicações SEC04-BP02 Capture registros, descobertas e métricas em locais padronizados
As alterações em contas e grupos privilegiados são registradas centralmente e protegidas contra modificações e exclusões não autorizadas, monitoradas em busca de sinais de comprometimento e acionadas quando eventos de segurança cibernética são detectados.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Fortalecimento de aplicativos do usuário

Patch de sistemas operacionais