AWS Identity and Access Management controles

Esses controles estão relacionados aos recursos do IAM.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para ter mais informações, consulte Disponibilidade de controles por região.

[IAM.1] As políticas do não devem permitir privilégios administrativos completos "*"

Requisitos relacionados: PCI DSS v3.2.1/7.2.1, CIS Foundations Benchmark v1.2.0/1.22, CIS AWS Foundations Benchmark v1.4.0/1.16, NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 3.r5 AC-3 (7), Nist.800-53.R5 AC-5, Nist.800-53.R5 AC-6, Nist.800-53.R5 AC-6 (10), Nist.800-53.R5 AC-6 (2), Nist.800-53.R5 AC-6 (3) AWS

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: alta

Tipo de recurso

Regra do AWS Config : iam-policy-no-statements-with-admin-access

Tipo de programação: acionado por alterações

Parâmetros:

excludePermissionBoundaryPolicy: true (não personalizável)

Esse controle verifica se a versão padrão das políticas do IAM (também conhecidas como políticas gerenciadas pelo cliente) não tem acesso de administrador com uma instrução que tenha"Effect": "Allow" com "Action": "*" em "Resource": "*". O controle falhará se você tiver políticas do IAM com essa declaração.

O controle apenas verifica as políticas gerenciadas pelo cliente que você criou. Ele não verifica políticas em linha e AWS gerenciadas.

As políticas do definem um conjunto de privilégios concedidos a usuários, grupos ou funções. Seguindo o conselho de segurança padrão, AWS recomenda que você conceda privilégios mínimos, o que significa conceder somente as permissões necessárias para realizar uma tarefa. Ao fornecer privilégios administrativos completos em vez do conjunto mínimo de permissões que o usuário precisa, você expõe os recursos a ações potencialmente indesejadas.

Em vez de permitir privilégios administrativos completos, determine o que os usuários precisam fazer e crie políticas que permitam que executem apenas aquelas tarefas. É mais seguro começar com um conjunto mínimo de permissões e conceder permissões adicionais conforme necessário. Não comece com permissões que sejam muito flexíveis para depois tentar restringi-las.

Remova as políticas do IAM "Effect": "Allow" que têm uma instrução com "Action": "*" por "Resource": "*".

nota

AWS Config deve estar habilitado em todas as regiões nas quais você usa o Security Hub. Entretanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar apenas recursos globais em uma única região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registra recursos globais.

Correção

Para modificar suas políticas do IAM para que elas não permitam privilégios administrativos “*” completos, consulte Editar políticas do IAM no Guia do usuário do IAM.

[IAM.2] Os usuários do não devem ter políticas do IAM anexadas

Requisitos relacionados: PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.16, NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 (7) .800-53.R5 AC-6, Nist.800-53.R5 AC-6 (3)

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso

Regra do AWS Config : iam-user-no-policies-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se nenhum dos usuários do IAM tem políticas anexadas. O controle falhará se seus usuários do IAM tiverem políticas vinculadas. Em vez disso, os usuários do IAM devem herdar permissões dos grupos ou funções do .

Por padrão, usuários, grupos e funções do IAM não têm acesso aos AWS recursos. As políticas do IAM são como os privilégios são concedidos aos usuários, aos grupos ou às funções na . Recomendamos que você aplique as políticas do IAM diretamente a grupos e funções, mas não aos usuários. A atribuição de privilégios no nível do grupo ou função reduz a complexidade do gerenciamento de acesso à medida que o número de usuários aumenta. Reduzir a complexidade do gerenciamento de acesso pode, por sua vez, reduzir a oportunidade para uma entidade principal inadvertidamente receber ou manter um número excessivo de privilégios.

nota

Os usuários do IAM criados pelo Amazon Simple Email Service são criados automaticamente usando políticas em linha. O Security Hub isenta automaticamente esses usuários desse controle.

Correção

Para resolver esse problema, crie um grupo do IAM e anexe a política ao grupo. Adicione os usuários ao grupo A política é aplicada a cada usuário no grupo. Para remover uma política vinculada diretamente a um usuário, consulte Adicionar e remover permissões de identidade do IAM no Guia do usuário do IAM.

[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.4, CIS Foundations Benchmark v1.4.0/1.14, NIST.800-53.r5 AWS AC-2 (1), NIST.800-53.r5 AC-2 (3), NIST.800-53.r5 AC-3 (15)

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso

Regra do AWS Config : access-keys-rotated

Tipo de programação: Periódico

Parâmetros:

maxAccessKeyAge: 90 (não personalizável)

Esse controle verifica se as chaves de acesso ativas são mudadas em até 90 dias.

É altamente recomendado não gerar e remover todas as chaves de acesso na conta. Em vez disso, a melhor prática recomendada é criar uma ou mais funções do IAM ou usar a federação por meio de AWS IAM Identity Center. Você pode usar esses métodos para permitir que seus usuários acessem o AWS Management Console AWS CLI e.

Cada abordagem tem os respectivos casos de uso. A federação é geralmente melhor para empresas com um diretório central existente ou que projetam a necessidade de um número maior do que o limite atual de usuários do . Os aplicativos executados fora de um AWS ambiente precisam de chaves de acesso para acesso programático aos AWS recursos.

No entanto, se os recursos que precisam de acesso programático forem executados internamente AWS, a melhor prática é usar funções do IAM. As funções permitem conceder acesso a recursos sem codificar um ID de chave de acesso e uma chave de acesso secreta na configuração.

Para saber mais sobre como proteger suas chaves de acesso e sua conta, consulte Melhores práticas para gerenciar chaves de AWS acesso no Referência geral da AWS. Veja também a postagem do blog Diretrizes para proteger você Conta da AWS ao usar o acesso programático.

Caso já tenha uma chave de acesso, o recomenda mudar as chaves de acesso a cada 90 dias. A mudança de chaves de acesso reduz a chance de uso de uma chave de acesso associada a uma conta comprometida ou encerrada. Isso também garante que os dados não possam ser acessados com uma chave antiga que pode ter sido perdida, decifrada ou roubada. Sempre atualize os aplicativos após mudar as chaves de acesso.

As chaves de acesso consistem em um ID de chave de acesso e em uma chave de acesso secreta. Elas são usadas para assinar as solicitações programáticas que você faz à AWS. Os usuários precisam de suas próprias chaves de acesso para fazer chamadas programáticas a AWS partir do AWS CLI Tools for Windows PowerShell, dos AWS SDKs ou chamadas HTTP diretas usando as operações de API individuais. Serviços da AWS

Se sua organização usa AWS IAM Identity Center (IAM Identity Center), seus usuários podem entrar no Active Directory, em um diretório integrado do IAM Identity Center ou em outro provedor de identidade (IdP) conectado ao IAM Identity Center. Em seguida, eles podem ser mapeados para uma função do IAM que permite executar AWS CLI comandos ou chamar operações de AWS API sem a necessidade de chaves de acesso. Para saber mais, consulte Configurando o AWS CLI para uso AWS IAM Identity Center no Guia do AWS Command Line Interface usuário.

nota

Correção

Para alternar chaves de acesso com mais de 90 dias, consulte Chaves de acesso rotativas no Guia do usuário do IAM. Siga as instruções para qualquer usuário com uma chave de acesso com idade superior a 90 dias.

[IAM.4] A chave de acesso do usuário raiz do não deve existir

Requisitos relacionados: PCI DSS v3.2.1/2.1, PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, CIS Foundations Benchmark v1.2.0/1.12, CIS AWS Foundations Benchmark v1.4.0/1.4, NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 3 (7), Nist.800-53.R5 AC-6, Nist.800-53.R5 AWS AC-6 (10), Nist.800-53.R5 AC-6 (2)

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: crítica

Tipo de recurso

Regra do AWS Config : iam-root-access-key-check

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a chave de acesso do usuário raiz está disponível.

O usuário root é o usuário mais privilegiado em um Conta da AWS. AWS as teclas de acesso fornecem acesso programático a uma determinada conta.

O recomenda remover todas as chaves de acesso associadas à conta raiz. Isso limita os vetores que podem ser usados para comprometer a conta. Além disso, incentiva a criação e o uso de contas baseadas em função que são menos privilegiadas.

Correção

Para excluir a chave de acesso do usuário raiz, consulte Excluir chaves de acesso para o usuário raiz no Guia do usuário do IAM. Para excluir as chaves de acesso do usuário root de um Conta da AWS in AWS GovCloud (US), consulte Excluindo as chaves de acesso do usuário raiz da minha AWS GovCloud (US) conta no Guia do AWS GovCloud (US) usuário.

[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.2, AWS CIS Foundations Benchmark v1.4.0/1.10, NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 IA-2 (1), NIST.800-53.r5 IA-2 (2), NIST.800-53.r5 2 (6), Nist.800-53.R5 IA-2 (8)

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso

Regra do AWS Config : mfa-enabled-for-iam-console-access

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a autenticação AWS multifator (MFA) está habilitada para todos os usuários do IAM que usam uma senha de console.

A autenticação multifator (MFA) adiciona uma camada extra de proteção sobre um nome de usuário e senha. Com o MFA ativado, quando um usuário faz login em um AWS site, ele é solicitado a fornecer seu nome de usuário e senha. Além disso, eles são solicitados a fornecer um código de autenticação de seu dispositivo de AWS MFA.

Recomendamos habilitar a MFA para todas as contas que têm uma senha do console. A MFA foi projetada para fornecer maior segurança para o acesso ao console. O principal de autenticação deve conter um dispositivo que emite uma chave sensível ao tempo e deve ter conhecimento de uma credencial.

nota

Correção

Para saber mais, consulte Usar autenticação multifator (MFA) na AWS no Guia do usuário do IAM.

Estamos oferecendo uma chave de segurança de MFA gratuita para clientes qualificados. Veja se você se qualifica e solicite sua chave gratuita.

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

Requisitos relacionados: PCI DSS v3.2.1/8.3.1, CIS Foundations Benchmark v1.2.0/1.14, CIS AWS Foundations Benchmark v1.4.0/1.6, NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 IA-2 (1), NIST.800-53.r5 IA-2 (2), Nist.800-53.r5 IA-2 (6), Nist.800-53.r5 IA-2 (8) AWS

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: crítica

Tipo de recurso

Regra do AWS Config : root-account-hardware-mfa-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se você Conta da AWS está habilitado para usar um dispositivo de autenticação multifator (MFA) de hardware para fazer login com credenciais de usuário raiz. O controle falhará se a MFA não estiver habilitada ou se algum dispositivo virtual de MFA tiver permissão para fazer login com credenciais de usuário raiz.

A MFA virtual pode não fornecer o mesmo nível de segurança oferecido por dispositivos MFA de hardware. Recomendamos usar um dispositivo MFA virtual somente enquanto aguarda a aprovação da compra do hardware ou a chegada do hardware. Para saber mais, consulte Habilitar um dispositivo Multi-Factor Authentication (MFA) (console) no IAM.

Tanto os tokens de senha de uso único com marcação temporal (TOTP) quanto os tokens do Universal 2nd Factor (U2F) são viáveis como opções de MFA de hardware.

Correção

Para adicionar um dispositivo de MFA de hardware para o usuário raiz, consulte Habilitar um dispositivo de MFA de hardware para o usuário Conta da AWS raiz (console) no Guia do usuário do IAM.

Estamos oferecendo uma chave de segurança de MFA gratuita para clientes qualificados. Veja se você se qualifica e solicite sua chave gratuita.

[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`RequireUppercaseCharacters`	Exige pelo menos um caractere maiúsculo na senha	Booleano	`true` ou `false`	`true`
`RequireLowercaseCharacters`	Exige pelo menos um caractere minúsculo na senha	Booleano	`true` ou `false`	`true`
`RequireSymbols`	Exige pelo menos um símbolo na senha	Booleano	`true` ou `false`	`true`
`RequireNumbers`	Exige pelo menos um número na senha	Booleano	`true` ou `false`	`true`
`MinimumPasswordLength`	Número mínimo de caracteres na senha	Inteiro	`8` para `128`	`8`
`PasswordReusePrevention`	Número de rotações de senha antes que uma senha antiga possa ser reutilizada	Inteiro	`12` para `24`	Nenhum valor padrão
`MaxPasswordAge`	Número de dias antes da expiração da senha	Inteiro	`1` para `90`	Nenhum valor padrão

Esse controle verifica se a política de senha de conta para usuários do IAM usa configurações fortes. O controle falhará se a política de senha não usar configurações fortes. A menos que você forneça valores de parâmetros personalizados, o Security Hub usará os valores padrão mencionados na tabela anterior. Os parâmetros PasswordReusePrevention e MaxPasswordAge não têm valor padrão, portanto, se você excluir esses parâmetros, o Security Hub ignorará o número de rotações da senha e a idade da senha ao avaliar esse controle.

Para acessar o AWS Management Console, os usuários do IAM precisam de senhas. Como prática recomendada, o Security Hub recomenda enfaticamente que, em vez de criar usuários do IAM, você use a federação. A federação permite que os usuários usem suas credenciais corporativas existentes para fazer login no AWS Management Console. Use AWS IAM Identity Center (IAM Identity Center) para criar ou federar o usuário e, em seguida, assumir uma função do IAM em uma conta.

Para saber mais sobre provedores de identidade e federação, consulte Provedores de identidade e federação no Guia do usuário do IAM. Para saber mais sobre o Centro de Identidade do IAM, consulte .

Se você precisar usar usuários do IAM, o Security Hub recomenda que você imponha a criação de senhas de usuário fortes. Você pode definir uma política de senha Conta da AWS para especificar requisitos de complexidade e períodos de rotação obrigatórios para senhas. Quando você criar ou alterar uma política de senha, a maioria das configurações de política de senha será aplicada da próxima vez que seus usuários mudarem suas senhas. Entretanto, algumas das configurações serão aplicadas imediatamente.

Correção

Para atualizar sua política de senha, consulte Configuração de uma política de senha de conta para usuários do IAM no Guia do usuário do IAM.

As credenciais de usuário do IAM não utilizadas devem ser removidas

Requisitos relacionados: PCI DSS v3.2.1/8.1.4, CIS AWS Foundations Benchmark v1.2.0/1.3, NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-2 (3), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 -53,5R5 AC-3 (7), Nist.800-53,5R5 AC-6

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso

Regra do AWS Config : iam-user-unused-credentials-check

Tipo de programação: Periódico

Parâmetros:

maxCredentialUsageAge: 90 (não personalizável)

Esse controle verifica se seus usuários do IAM têm senhas ou chaves de acesso ativas que não foram usadas por 90 dias.

Os usuários do IAM podem acessar AWS recursos usando diferentes tipos de credenciais, como senhas ou chaves de acesso.

Recomendamos que você remova ou desative todas as credenciais que não foram usadas em 90 dias ou mais. Desabilitar ou remover credenciais desnecessárias reduz a possibilidade de uso de credenciais associadas a uma conta comprometida ou abandonada.

nota

Correção

Quando você visualiza as informações do usuário no console do IAM, há colunas para Idade da chave de acesso, Idade da senha e Última atividade. Se o valor em qualquer uma dessas colunas for maior do que 90 dias, deixe as credenciais para esses usuários inativas.

Você também pode usar os relatórios de credenciais para monitorar e identificar as contas de usuário sem atividade por 90 dias ou mais. É possível baixar os relatórios de credenciais no formato .csv no console do IAM .csv.

Depois de identificar as contas inativas ou as credenciais não utilizadas, desative-as. Para instruções, consulte Criar, alterar ou excluir uma senha de usuário do IAM (console) no Guia do usuário do IAM.

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

Requisitos relacionados: PCI DSS v3.2.1/8.3.1, CIS Foundations Benchmark v1.2.0/1.13, CIS AWS Foundations Benchmark v1.4.0/1.5, NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 IA-2 (1), NIST.800-53.r5 IA-2 (2), Nist.800-53.r5 IA-2 (6), Nist.800-53.r5 IA-2 (8) AWS

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: crítica

Tipo de recurso

Regra do AWS Config : root-account-mfa-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

O usuário raiz tem acesso a todos os serviços e recursos da Conta da AWS na conta. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Com o MFA ativado, quando um usuário faz login no AWS Management Console, ele é solicitado a fornecer seu nome de usuário e senha e um código de autenticação de seu dispositivo de AWS MFA.

Ao usar MFA virtual para contas raiz, o recomenda que o dispositivo usado não seja um dispositivo pessoal. Em vez disso, use um dispositivo móvel dedicado (tablet ou telefone) que você gerencia para manter carregado e seguro independente dos dispositivos pessoais individuais. Isso reduz o risco de perder o acesso ao dispositivo MFA devido a perda ou negociação de dispositivo ou se o proprietário do dispositivo não estiver mais empregado na empresa.

Correção

Para habilitar o MFA para o usuário raiz, consulte Ativar o MFA no usuário Conta da AWS raiz no Guia de referência de gerenciamento de AWS contas.

[IAM.10] As políticas de senha para usuários do IAM devem ter durações fortes AWS Config

Requisitos relacionados: PCI DSS v3.2.1/8.1.4, PCI DSS v3.2.1/8.2.3, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.5

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a política da senha da conta para usuários do IAM usa as configurações recomendadas a seguir.

Exige pelo menos um caractere maiúsculo na senha. (Padrão = true)
Exige pelo menos um caractere minúsculo na senha. (Padrão = true)
Exige pelo menos um número na senha. (Padrão = true)
Tamanho mínimo da senha. (Padrão = 7 ou mais)
Número de senhas antes de permitir a reutilização. Padrão: 4 ()
MaxPasswordAge — Número de dias antes da expiração da senha. (Padrão = 0)

Correção

Para atualizar sua política de senha para usar a configuração recomendada, consulte Como definir uma política de senha de conta para usuários do IAM no Guia do usuário do IAM.

1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.5

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do IAM para garantir que as senhas usem diferentes conjuntos de caracteres.

Recomendamos que a política de senhas exija pelo menos uma letra maiúscula. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

Correção

Para atualizar sua política de senha para usar a configuração recomendada, consulte Como definir uma política de senha de conta para usuários do IAM no Guia do usuário do IAM. Exigir pelo menos uma letra maiúscula do alfabeto latino (A–Z)

1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.6

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do IAM para garantir que as senhas usem diferentes conjuntos de caracteres. Recomendamos que a política de senhas exija pelo menos uma letra minúscula. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

Correção

1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.7

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do IAM para garantir que as senhas usem diferentes conjuntos de caracteres.

Recomendamos que a política de senhas exija pelo menos um símbolo. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

Correção

Para atualizar sua política de senha para usar a configuração recomendada, consulte Como definir uma política de senha de conta para usuários do IAM no Guia do usuário do IAM. Em Força da senha, selecione Exigir pelo menos um caractere não alfanumérico.

Certifique-se de que política de senha do IAM exija pelo menos um número

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.8

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do IAM para garantir que as senhas usem diferentes conjuntos de caracteres.

Recomendamos que a política de senhas exija pelo menos um número. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

Correção

1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.9, CIS Foundations Benchmark v1.4.0/1.8 AWS

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do para garantir que as senhas tenham pelo menos um determinado comprimento.

Recomendamos que a política de senha exija um comprimento mínimo para senha de 14 caracteres. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

Correção

Para atualizar sua política de senha para usar a configuração recomendada, consulte Como definir uma política de senha de conta para usuários do IAM no Guia do usuário do IAM. Em Tamanho mínimo da senha, insira 14 ou um número maior.

1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.10, CIS Foundations Benchmark v1.4.0/1.9 AWS

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se o número de senhas a serem lembradas está definido como 24. O controle falhará se o valor não for 24.

As políticas de senha do podem impedir a reutilização de uma determinada senha pelo mesmo usuário.

Recomendamos que a política de senha impeça a reutilização de senhas. Impedir a reutilização de senhas aumenta a resiliência da conta contra tentativas de login forçado.

Correção

1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.11

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

As políticas de senha do podem exigir a mudança ou expiração de senhas após um determinado número de dias.

Recomendamos que a política de senha expire senhas após 90 dias ou menos. Reduzir a duração da senha aumenta a resiliência da conta contra tentativas de login forçado. Exigir alterações de senha regulares ajuda nos seguintes cenários:

As senhas podem ser roubadas ou comprometidas sem o seu conhecimento. Isso pode acontecer por meio de um comprometimento do sistema, vulnerabilidade de software ou ameaças internas.
Alguns filtros governamentais e corporativos da Web ou servidores de proxy podem interceptar e registrar o tráfego mesmo se ele for criptografado.
Muitas pessoas usam a mesma senha para muitos sistemas, como trabalho, email e pessoal.
Estações de trabalho do usuário final comprometidas podem ter um registrador de teclas.

Correção

Para atualizar sua política de senha para usar a configuração recomendada, consulte Como definir uma política de senha de conta para usuários do IAM no Guia do usuário do IAM. Em Ativar a expiração da senha, digite 90 ou um número menor.

[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.20, CIS Foundations Benchmark v1.4.0/1.17 AWS

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso

Regra do AWS Config : iam-policy-in-use

Tipo de programação: Periódico

Parâmetros:

policyARN: arn:partition:iam::aws:policy/AWSSupportAccess (não personalizável)
policyUsageType: ANY (não personalizável)

AWS fornece um centro de suporte que pode ser usado para notificação e resposta a incidentes, bem como suporte técnico e atendimento ao cliente.

Crie uma função do para permitir que usuários autorizados gerenciem incidentes com o Support. Ao implementar o menor privilégio para controle de acesso, uma função do IAM exigirá uma política de IAM apropriada para permitir o acesso ao centro de suporte a fim de gerenciar incidentes com. AWS Support

nota

Correção

Para corrigir esse problema, crie uma função para permitir que usuários autorizados gerenciem incidentes do AWS Support Support.

Para criar a função a ser usada para AWS Support acesso

Abra o console IAM em https://console.aws.amazon.com/iam/.
No painel de navegação, escolha Perfis e escolha Criar perfil.
Em Role type (Tipo de função), escolha Another AWS account (Outra conta da AWS) Conta da AWS.
Em ID da conta, insira Conta da AWS a Conta da AWS ID da qual você deseja conceder acesso aos seus recursos.

Se os usuários ou grupos que assumirão essa função estiverem na mesma conta, insira o número da conta local.

nota
O administrador da conta especificada pode conceder permissão para assumir essa função a qualquer usuário do . Para fazer isso, o administrador anexa uma política ao usuário ou grupo que concede permissão para a ação sts:AssumeRole. Nessa política, o recurso deve ser o ARN da função.
Escolha Próximo: permissões.
Procure a política gerenciada AWSSupportAccess.
Marque a caixa de seleção da política gerenciada AWSSupportAccess.
Escolha Próximo: etiquetas.
(Opcional) Para adicionar metadados à função, anexe tags como pares de chave-valor.

Para obter mais informações sobre o uso de tags no IAM, consulte Marcar usuários e funções do IAM no Guia do usuário do IAM.
Selecione Next: Review (Próximo: revisar).
Em Role name (Nome da função), digite um nome para sua função.

Os nomes das funções devem ser exclusivos em seu Conta da AWS. Não diferenciam letras maiúsculas de minúsculas.
(Opcional) Em Descrição da função, insira uma descrição para o novo perfil.
Revise a função e selecione Create role (Criar função).

Mostrar mais

Mostrar menos

[PCI.IAM.6] A MFA deve estar habilitada para todos os usuários do

Requisitos relacionados: CIS Foundations Benchmark v1.2.0/1.2, CIS Foundations Benchmark v1.4.0/1.10, NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3(15), NIST.800-53.r5 IA-2(1), NIST.800-53.r5 IA-2(2), NIST.800-53.r5 IA-2(6), NIST.800-53.r5 IA-2(8)

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso

Regra do AWS Config : iam-user-mfa-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se os usuários do têm a autenticação multifator (MFA) habilitada.

nota

Correção

Para adicionar MFA para usuários do IAM, consulte Habilitar dispositivos de MFA para usuários na AWS no Guia do usuário do IAM.

Evitar o uso do usuário raiz

Importante

O Security Hub removerá esse controle em março de 2024. Para ter mais informações, consulte Log de alterações dos controles do Security Hub.

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.1

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso

Regra AWS Config : use-of-root-account-test (regra personalizada do Security Hub)

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se um Conta da AWS tem restrições ao uso do usuário root. O controle avalia os seguintes recursos:

Amazon Simple Notification Service (Amazon SNS) topics
AWS CloudTrail trilhas
Filtros métricos associados às CloudTrail trilhas
CloudWatch Alarmes da Amazon com base nos filtros

Essa verificação resulta em uma descoberta FAILED se uma ou mais das seguintes afirmações são verdadeiras:

Não existem CloudTrail trilhas na conta.
Uma CloudTrail trilha está ativada, mas não está configurada com pelo menos uma trilha multirregional que inclui eventos de gerenciamento de leitura e gravação.
Uma CloudTrail trilha está ativada, mas não está associada a um grupo de CloudWatch registros de registros.
O filtro métrico exato prescrito pelo Center for Internet Security (CIS) não é usado. O filtro métrico prescrito é '{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'.
Não há CloudWatch alarmes baseados no filtro métrico na conta.
CloudWatch os alarmes configurados para enviar notificação ao tópico SNS associado não são acionados com base na condição do alarme.
O tópico do SNS não está em conformidade com as restrições de envio de uma mensagem para um tópico do SNS.
O tópico do SNS não tem pelo menos um assinante.

Essa verificação resulta em uma descoberta NO_DATA se uma ou mais das seguintes afirmações são verdadeiras:

As trilhas multirregionais também podem ser baseadas em uma região diferente. O Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O Security Hub só pode gerar descobertas para a conta proprietária da trilha.

Essa verificação resulta em uma descoberta WARNING se uma ou mais das seguintes afirmações são verdadeiras:

A conta atual não é proprietária do tópico SNS referenciado no CloudWatch alarme.
A conta atual não tem acesso ao tópico do SNS ao invocar a API do SNS ListSubscriptionsByTopic.

nota

Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta de administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o Security Hub só gera descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. É possível ver essas descobertas em sua conta de administrador delegado do Security Hub usando a agregação entre regiões.

Como uma melhor prática, use as credenciais raiz somente quando necessário para realizar tarefas de gerenciamento de serviços e da conta. Aplique as políticas do diretamente a grupos e funções, mas não aos usuários. Para obter instruções sobre como configurar usuários e grupos do IAM, consulte Criação do seu primeiro usuário do IAM e grupo de administradores no Guia do usuário do IAM.

Correção

As etapas para corrigir esse problema incluem a configuração de um tópico do Amazon SNS, CloudTrail uma trilha, um filtro métrico e um alarme para o filtro métrico.

Para criar um tópico do Amazon SNS

Abra o console do Amazon SNS em https://console.aws.amazon.com/sns/v3/home.
Crie um tópico do que receba todos os alarmes de CIS.

Crie pelo menos um assinante para o tópico. Para obter mais informações, consulte Conceitos básicos do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service.

Em seguida, configure um ativo CloudTrail que se aplique a todas as regiões. Para fazer isso, siga as etapas de correção em [CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação.

Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Crie filtros métricos para o grupo de logs.

Por fim, crie o filtro métrico e o alarme.

Para criar um filtro e um alarme de métrica

Abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/.
No painel de navegação, escolha Grupos de logs.
Marque a caixa de seleção do grupo de CloudWatch registros de registros associado à CloudTrail trilha que você criou.
Escolha Ações, Criar filtro de métrica.
Em Define pattern (Definir padrão), faça o seguinte:
1. Copie o seguinte padrão e cole-o no campo Filter Pattern (Padrão de filtro).
```
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
```
2. Escolha Próximo.
Em Atribuir métrica, faça o seguinte:
1. Em Filter name (Nome do filtro), insira um nome para o filtro de métricas de solicitação.
2. Em Metric Namespace (Namespace da métrica), digite LogMetrics.
  
  Se você usar o mesmo namespace para todos os seus filtros de métricas de log do CIS, todas as métricas do CIS Benchmark serão agrupadas.
3. Em Metric name (Nome da métrica), insira um nome para a nova métrica. O nome da métrica. Você precisará selecionar a métrica ao criar o alarme.
4. Em Metric Value (Valor de métrica), insira 1.
5. Escolha Próximo.
Em Revisar e criar, verifique as informações que você forneceu para o novo filtro de métrica. Escolha Create Metric Filter (Criar filtro de métrica).
No painel de navegação, escolha Grupos de log e, em seguida, escolha o filtro que você criou em Filtros métricos.
Marque a caixa de seleção da UO. Selecione Criar alarme.
Em Especificar métrica e condições, insira o seguinte.
1. Na seção Conditions (Condições), em Threshold type (Tipo de limite), escolha Static (Estático).
2. Para Definir a condição de alarme, escolha Maior/igual.
3. Para o valor do limite, insira .
4. Escolha Próximo.
Em Ações do evento, faça o seguinte:
1. Em Alarm state trigger (Gatilho do estado do alarme), escolha In alarm (Em alarme).
2. Em Select an SNS topic (Selecionar um tópico do SNS), escolha Select an existing SNS topic (Selecionar um tópico do SNS existente).
3. Em Actions (Ações), em Send notification to (Enviar notificação para), escolha Enter list (Inserir lista) e insira o nome do tópico que você criou no procedimento anterior.
4. Escolha Próximo.
Em Add a description (Adicionar uma descrição), insira um nome e uma descrição para o alarme e selecione Next (Próximo). Em seguida, escolha Próximo.
Em Visualizar e criar, revise a configuração do alarme. Escolha Criar alarme.

Mostrar mais

Mostrar menos

As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.

Requisitos relacionados: NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-7(8)

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso

Regra do AWS Config : iam-policy-no-statements-with-full-access

Tipo de programação: acionado por alterações

Parâmetros:

excludePermissionBoundaryPolicy: True (não personalizável)

Esse controle verifica se as políticas baseadas em identidade do IAM que você cria têm instruções Allow que usam o caractere curinga * para conceder permissões para todas as ações em qualquer serviço. O controle falhará se alguma declaração de política incluir "Effect": "Allow" com "Action": "Service:*".

Por exemplo, a declaração a seguir em uma política resulta em uma descoberta malsucedida.


"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}

O controle também falhará se você usar "Effect": "Allow" com "NotAction": "service:*". Nesse caso, o NotAction elemento fornece acesso a todas as ações em um AWS service (Serviço da AWS), exceto às ações especificadas emNotAction.

Esse controle se aplica somente às políticas do IAM gerenciadas pelo cliente. Ela não se aplica às políticas do IAM que são gerenciadas pela AWS.

Ao atribuir permissões a Serviços da AWS, é importante definir o escopo das ações permitidas do IAM em suas políticas do IAM. Você deve restringir as ações do IAM somente às ações necessárias. Isso ajuda você a provisionar permissões com privilégios mínimos. Políticas excessivamente permissivas podem levar ao aumento de privilégios se as políticas estiverem vinculadas a uma entidade principal do IAM que talvez não exija a permissão.

Em alguns casos, é possível que você deseje permitir ações do IAM com um prefixo semelhante, como DescribeFlowLogs e DescribeAvailabilityZones. Nesses casos autorizados, é possível adicionar um curinga com sufixo ao prefixo comum. Por exemplo, ec2:Describe*.

Esse controle passa se você usar uma ação prefixada do IAM com um caractere curinga com sufixo. Por exemplo, a declaração a seguir em uma política resulta em uma descoberta malsucedida.


"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}

Ao agrupar ações relacionadas do IAM dessa forma, você também pode evitar exceder os limites de tamanho da política do IAM.

nota

Correção

Para corrigir esse problema, atualize suas políticas do IAM para que elas não permitam privilégios administrativos “*” completos. Para obter mais informações sobre como editar uma política do IAM, consulte Edição de políticas do IAM no Guia do usuário do IAM.

As credenciais de usuário do IAM não utilizadas devem ser removidas

Requisitos relacionados: CIS AWS Foundations Benchmark v1.4.0/1.12

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso

AWS Config regra: iam-user-unused-credentials-check

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se seus usuários do IAM têm senhas ou chaves de acesso ativas que não foram usadas por 90 dias. Para isso, ele verifica se o maxCredentialUsageAge parâmetro da AWS Config regra é igual a 45 ou mais.

Os usuários podem acessar AWS recursos usando diferentes tipos de credenciais, como senhas ou chaves de acesso.

A AWS Config regra para esse controle usa as operações de GenerateCredentialReportAPI GetCredentialReporte, que são atualizadas somente a cada quatro horas. As alterações feitas nos usuários do podem levar até quatro horas para ficarem visíveis para esse controle.

nota

Correção

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

GuardDuty controles

Controles do Kinesis