Correção de exposições para usuários do IAM

AWS O Security Hub pode gerar descobertas de exposição para usuários AWS Identity and Access Management (IAM).

No console do Security Hub, o usuário do IAM envolvido em uma descoberta de exposição e suas informações de identificação estão listados na seção Recursos dos detalhes da descoberta. Programaticamente, você pode recuperar detalhes do recurso com a GetFindingsV2operação da API do Security Hub.

Depois de identificar o recurso envolvido em uma descoberta de exposição, você pode excluir o recurso se não precisar dele. A exclusão de um recurso não essencial pode reduzir seu perfil de exposição e AWS seus custos. Se o recurso for essencial, siga estas etapas de remediação recomendadas para ajudar a mitigar o risco. Os tópicos de remediação são divididos com base no tipo de característica.

Uma única descoberta de exposição contém problemas identificados em vários tópicos de remediação. Por outro lado, você pode abordar uma descoberta de exposição e reduzir seu nível de gravidade abordando apenas um tópico de remediação. Sua abordagem para remediação de riscos depende de seus requisitos organizacionais e cargas de trabalho.

nota

A orientação de remediação fornecida neste tópico pode exigir consultas adicionais em outros AWS recursos.

As melhores práticas do IAM recomendam que você crie funções do IAM ou use a federação com um provedor de identidade para acessar AWS usando credenciais temporárias em vez de criar usuários individuais do IAM. Se essa for uma opção para sua organização e caso de uso, recomendamos mudar para funções ou federação em vez de usar usuários do IAM. Para obter mais informações, consulte Usuários IAM no Manual do usuário IAM.

Sumário

• Características de configuração incorreta para usuários do IAM

  • O usuário do IAM tem uma política com acesso administrativo

  • O usuário do IAM não tem o MFA habilitado

  • O usuário do IAM tem uma política com acesso administrativo a um AWS service (Serviço da AWS)

  • A AWS conta do usuário do IAM tem políticas de senha fracas

  • O usuário do IAM tem credenciais não utilizadas

  • O usuário do IAM tem chaves de acesso não rotacionadas

  • O usuário do IAM tem uma política que permite acesso irrestrito à decodificação da chave KMS

Características de configuração incorreta para usuários do IAM

Aqui estão as características de configuração incorreta para usuários do IAM e as etapas de correção sugeridas.

O usuário do IAM tem uma política com acesso administrativo

As políticas do IAM concedem um conjunto de privilégios aos usuários do IAM ao acessar recursos. As políticas administrativas fornecem aos usuários do IAM amplas permissões para AWS serviços e recursos. Fornecer privilégios administrativos completos, em vez do conjunto mínimo de permissões que o usuário precisa, pode aumentar o escopo de um ataque se as credenciais forem comprometidas. Seguindo os princípios de segurança padrão, AWS recomenda que você conceda o mínimo de privilégios, o que significa que você concede somente as permissões necessárias para realizar uma tarefa.

1. Revise e identifique políticas administrativas — No Resource ID, identifique o nome da função do IAM. Acesse o painel do IAM e selecione a função identificada. Analise a política de permissões anexada ao usuário do IAM. Se a política for AWS gerenciada, procure AdministratorAccess ouIAMFullAccess. Caso contrário, no documento de política, procure declarações que tenham as declarações "Effect": "Allow" "Action": "*" terminadas"Resource": "*".

2. Implemente o acesso com privilégios mínimos — substitua as políticas administrativas do serviço por aquelas que concedem somente as permissões específicas necessárias para que o usuário funcione. Para obter mais informações sobre as melhores práticas de segurança para políticas do IAM, consulte Aplicar permissões de privilégios mínimos no Guia do usuário.AWS Identity and Access Management Para identificar permissões desnecessárias, você pode usar o IAM Access Analyzer para entender como modificar sua política com base no histórico de acesso. Para obter mais informações, consulte Conclusões sobre acesso externo e não utilizado no Guia do AWS Identity and Access Management usuário.

3. Considerações de configuração segura — Se as permissões administrativas do serviço forem necessárias para a instância, considere implementar esses controles de segurança adicionais para reduzir os riscos:

   • Autenticação multifatorial (MFA) — A MFA adiciona uma camada de segurança adicional ao exigir uma forma adicional de autenticação. Isso ajuda a evitar o acesso não autorizado, mesmo que as credenciais estejam comprometidas. Para obter mais informações, consulte Exigir autenticação multifator (MFA) no Guia AWS Identity and Access Management do usuário.

   • Condições do IAM — A configuração de elementos condicionais permite restringir quando e como as permissões administrativas podem ser usadas com base em fatores como IP de origem ou idade da MFA. Para obter mais informações, consulte Condições de uso nas políticas do IAM para restringir ainda mais o acesso no Guia AWS Identity and Access Management do usuário.

   • Limites de permissão — Os limites de permissão estabelecem o máximo de permissões que uma função pode ter, fornecendo proteções para funções com acesso administrativo. Para obter mais informações, consulte Usar limites de permissões para delegar o gerenciamento de permissões em uma conta no Guia do AWS Identity and Access Management usuário.

O usuário do IAM não tem o MFA habilitado

A autenticação multifator (MFA) adiciona uma camada extra de proteção sobre um nome de usuário e senha. Quando a MFA é ativada e um usuário do IAM faz login em um AWS site, ele é solicitado a fornecer seu nome de usuário, senha e um código de autenticação do dispositivo de AWS MFA. O principal de autenticação deve conter um dispositivo que emite uma chave sensível ao tempo e deve ter conhecimento de uma credencial. Sem o MFA, se a senha de um usuário for comprometida, o invasor terá acesso total às permissões do usuário. AWS Seguindo os princípios de segurança padrão, AWS recomenda habilitar a MFA para todas as contas e usuários que tenham AWS Management Console acesso.

Analise os tipos de MFA

AWS suporta os seguintes tipos de MFA:

• Chaves de acesso e chaves de segurança

• Aplicações de autenticador virtual

• Tokens físicos de TOTP

Embora a autenticação com um dispositivo físico normalmente forneça uma proteção de segurança mais rigorosa, usar qualquer tipo de MFA é mais seguro do que ter a MFA desativada.

Habilitar MFA

Para habilitar o tipo de MFA adequado às suas necessidades, consulte a autenticação AWS multifator no IAM no Guia do usuário do IAM. Siga as etapas do tipo específico de MFA que você deseja implementar. Para organizações que gerenciam muitos usuários, talvez você queira impor o uso da MFA exigindo que a MFA acesse recursos confidenciais.

O usuário do IAM tem uma política com acesso administrativo a um AWS service (Serviço da AWS)

As políticas de administração de serviços fornecem aos usuários do IAM permissões para realizar todas as ações em um AWS serviço específico. Essas políticas geralmente incluem permissões que não são necessárias para que os usuários desempenhem suas funções de trabalho. Fornecer a um usuário do IAM privilégios de administrador do serviço, em vez do conjunto mínimo de permissões necessário, aumenta o escopo de um ataque se as credenciais forem comprometidas. Seguindo os princípios de segurança padrão, AWS recomenda que você conceda o mínimo de privilégios, o que significa que você concede somente as permissões necessárias para realizar uma tarefa.

Revise e identifique as políticas de administração de serviços

No ID do recurso, identifique o nome da função do IAM. Acesse o painel do IAM e selecione a função identificada. Analise a política de permissões anexada ao usuário do IAM. Se a política for gerenciada pela AWS, procure AdministratorAccess ouIAMFullAccess. Caso contrário, no documento de política, procure declarações que tenham as declarações "Effect": "Allow" with "Action": "*" over "Resource": "*".

Implemente o acesso de privilégio mínimo

Substitua as políticas administrativas do serviço por aquelas que concedem somente as permissões específicas necessárias para que o usuário funcione. Para identificar permissões desnecessárias, você pode usar o IAM Access Analyzer para entender como modificar sua política com base no histórico de acesso.

Considerações sobre configuração segura

Se forem necessárias permissões administrativas do serviço para a instância, considere implementar esses controles de segurança adicionais para reduzir a exposição:

• O MFA adiciona uma camada de segurança adicional ao exigir uma forma adicional de autenticação. Isso ajuda a evitar o acesso não autorizado, mesmo que as credenciais estejam comprometidas.

• Use elementos condicionais para restringir quando e como as permissões administrativas podem ser usadas com base em fatores como IP de origem ou idade da MFA.

• Use limites de permissão para estabelecer o máximo de permissões que uma função pode ter, fornecendo proteções para funções com acesso administrativo.

A AWS conta do usuário do IAM tem políticas de senha fracas

As políticas de senha ajudam a proteger contra acesso não autorizado ao impor requisitos mínimos de complexidade para senhas de usuário do IAM. Sem políticas de senha fortes, há um risco maior de que as contas dos usuários sejam comprometidas por meio de adivinhação de senhas ou ataques de força bruta. Seguindo os princípios de segurança padrão, AWS recomenda a implementação de uma política de senha forte para garantir que os usuários criem senhas complexas e difíceis de adivinhar.

Configurar uma política de senha forte

Acesse o painel do IAM e navegue até Configurações da conta. Revise as configurações atuais da política de senha da sua conta, incluindo o tamanho mínimo, os tipos de caracteres necessários e as configurações de expiração da senha.

No mínimo, AWS recomenda seguir estas práticas recomendadas ao definir sua política de senha:

• Exigir pelo menos um caractere maiúsculo.

• Exigir pelo menos um caractere minúsculo.

• Exija pelo menos um símbolo.

• Exija pelo menos um número.

• Exigir pelo menos oito caracteres.

Considerações adicionais sobre segurança

Considere estas medidas de segurança adicionais, além de uma política de senha forte:

• O MFA adiciona uma camada de segurança adicional ao exigir uma forma adicional de autenticação. Isso ajuda a evitar o acesso não autorizado, mesmo que as credenciais estejam comprometidas.

• Configurar elementos condicionais para restringir quando e como as permissões administrativas podem ser usadas com base em fatores como IP de origem ou idade da MFA.

O usuário do IAM tem credenciais não utilizadas

Credenciais não utilizadas, incluindo senhas e chaves de acesso que permaneceram inativas por 90 dias ou mais, representam um risco de segurança para seu ambiente. AWS Essas credenciais não utilizadas criam possíveis vetores de ataque para os atacantes e aumentam a superfície geral de ataque da sua organização. Seguindo as melhores práticas de segurança, AWS recomenda desativar ou remover credenciais que não tenham sido usadas em 90 dias ou mais para reduzir sua superfície de ataque.

Desativar ou remover credenciais não utilizadas

Na descoberta de exposição, abra o recurso. Isso abrirá a janela de detalhes do usuário. Antes de agir com as credenciais não utilizadas, avalie o impacto potencial em seu ambiente. A remoção de credenciais sem uma avaliação adequada pode interromper processos em segundo plano, trabalhos agendados e muito mais. Considere um breve período de desativação antes da remoção permanente para verificar o impacto da remoção das credenciais não utilizadas.

Execute a ação apropriada com base no tipo de credencial:

• Para senhas de console não utilizadas, considere primeiro alterar a senha e desativá-la temporariamente. Se nenhum problema surgir, prossiga com a desativação ou exclusão permanente.

• Para chaves de acesso não utilizadas, considere primeiro desativar a chave. Depois de confirmar que nenhum sistema foi afetado, prossiga com a desativação ou exclusão permanente.

• Para usuários não utilizados, considere desativar temporariamente o usuário anexando uma política restritiva antes da exclusão total.

O usuário do IAM tem chaves de acesso não rotacionadas

As chaves de acesso consistem em um ID de chave de acesso e uma chave de acesso secreta que permitem o acesso programático aos AWS recursos. Quando as chaves de acesso permanecem inalteradas por longos períodos de tempo, elas aumentam o risco de acesso não autorizado se forem comprometidas. Seguindo as melhores práticas de segurança, AWS recomenda a rotação das chaves de acesso a cada 90 dias para minimizar a janela de oportunidade para os invasores usarem credenciais comprometidas.

Gire as teclas de acesso

Na descoberta de exposição, abra o recurso. Isso abrirá a janela de detalhes do usuário. Para alternar as chaves de acesso, consulte Gerenciar chaves de acesso para usuários do IAM no Guia do usuário do IAM.

O usuário do IAM tem uma política que permite acesso irrestrito à decodificação da chave KMS

AWS KMS permite criar e gerenciar chaves criptográficas que são usadas para proteger seus dados. As políticas do IAM que permitem permissões de AWS KMS descriptografia irrestritas (por exemplo, kms:Decrypt oukms:ReEncryptFrom) em todas as chaves do KMS podem levar ao acesso não autorizado aos dados se as credenciais de um usuário do IAM forem comprometidas. Se um invasor obtiver acesso a essas credenciais, ele poderá decifrar quaisquer dados criptografados em seu ambiente, o que pode incluir dados confidenciais. Seguindo as melhores práticas de segurança, AWS recomenda implementar o privilégio mínimo limitando as permissões de AWS KMS descriptografia somente às chaves específicas de que os usuários precisam para suas funções de trabalho.

Implemente o privilégio de acesso mínimo

Na descoberta de exposição, abra o recurso. Isso abrirá a janela de políticas do IAM. Procure permissões no KMS que permitam kms: Decrypt kms:ReEncryptFrom ou KMS:* com uma especificação de recurso de. "*" Atualize a política para restringir as permissões AWS KMS de decodificação somente às chaves específicas necessárias. Modifique a política para substituir o "*" recurso pelas AWS KMS chaves específicas ARNs necessárias.

Considerações sobre configuração segura

Considere adicionar condições para restringir ainda mais quando essas permissões podem ser usadas. Por exemplo, você pode limitar as operações de descriptografia a endpoints de VPC específicos ou intervalos de IP de origem. Você também pode configurar políticas de chaves para restringir ainda mais quem pode usar chaves KMS específicas.