SEC02-BP05 Fazer a auditoria e a alternância periódica das credenciais

Audite e alterne as credenciais periodicamente para limitar o período durante o qual as credenciais podem ser usadas para acessar seus recursos. Credenciais de longo prazo criam muitos riscos, e estes podem ser reduzidos alternando credenciais de longo prazo regularmente.

Resultado desejado: implementar a alternância de credenciais para ajudar a reduzir os riscos associados ao uso de credenciais de longo prazo. Auditar e corrigir regularmente a não conformidade com políticas de alternância de credenciais.

Antipadrões comuns:

• Não auditar o uso de credenciais.

• Utilizar credenciais de longo prazo desnecessariamente.

• Utilizar credenciais de longo prazo e não alterná-las regularmente.

Nível de risco exposto se esta prática recomendada não é estabelecida: alto

Orientação de implementação

Quando você não puder contar com credenciais temporárias e exigir credenciais de longo prazo, faça uma auditoria das credenciais para garantir que os controles definidos, por exemplo, autenticação multifator (MFA), sejam aplicados, alternados regularmente e que tenham o nível de acesso apropriado.

A validação periódica, preferencialmente por meio de uma ferramenta automatizada, é necessária para verificar se os controles corretos são aplicados. Para identidades humanas, você deve exigir que os usuários alterem suas senhas periodicamente e substituam chaves de acesso por credenciais temporárias. Ao migrar de usuários do AWS Identity and Access Management (IAM) para identidades centralizadas, é possível gerar um relatório de credenciais para fazer auditoria de seus usuários.

Também recomendamos implementar e monitorar a MFA no provedor de identidades. É possível configurar o Regras do AWS Config ou usar Padrões de segurança AWS Security Hub para monitorar se os usuários têm a MFA ativada. Considere utilizar o IAM Roles Anywhere para fornecer credenciais temporárias para identidades de máquina. Em situações em que o uso de perfis do IAM e credenciais temporárias não é possível, é necessário realizar auditoria frequente e alternar as chaves de acesso.

Etapas da implementação

• Fazer auditoria nas credenciais regularmente: a auditoria das identidades configuradas em seu provedor de identidades e no IAM ajuda a garantir que somente identidades autorizadas tenham acesso à sua workload. Essas identidades podem incluir, entre outros, usuários do IAM, do AWS IAM Identity Center, do Active Directory ou usuários em um provedor de identidades upstream diferente. Por exemplo, remova as pessoas que saem da organização e as funções entre contas que não são mais necessárias. Estabeleça um processo para auditar periodicamente as permissões para os serviços acessados por uma entidade do IAM. Isso ajuda a identificar as políticas que você precisa modificar a fim de remover todas as permissões não utilizadas. Use relatórios de credenciais e o AWS Identity and Access Management Access Analyzer para auditar credenciais e permissões do IAM. É possível utilizar o Amazon CloudWatch para configurar alarmes para chamadas de API específicas chamadas em seu ambiente da AWS. O Amazon GuardDuty também pode alertar você sobre atividade inesperada, que pode indicar acesso excessivamente permissivo ou acesso acidental às credenciais do IAM.

• Alternar credenciais regularmente: quando você não pode utilizar credenciais temporárias, alterne as chaves de acesso do IAM de longo prazo regularmente (no máximo, a cada 90 dias). Se uma chave de acesso for divulgada acidentalmente sem seu conhecimento, isso limitará o período de uso das credenciais para acessar seus recursos. Para ter informações sobre a alternância de chaves de acesso para usuários do IAM, consulte Alternar chaves de acesso.

• Revisar as permissões do IAM: para melhorar a segurança de sua Conta da AWS, revise e monitore regularmente cada uma das políticas do IAM. Verifique se as políticas seguem o princípio de privilégio mínimo.

• Considerar automatizar a criação e as atualizações dos recursos do IAM:o IAM Identity Center automatiza muitas tarefas do IAM, como o gerenciamento de perfis e políticas. Como alternativa, o AWS CloudFormation pode ser usado para automatizar a implantação de recursos do IAM, como perfis e políticas, para reduzir a chance de erros humanos, pois os modelos podem ser verificados e ter controle de versão.

• Utilizar o IAM Roles Anywhere para substituir os usuários do IAM para identidades de máquina: o IAM Roles Anywhere possibilita usar perfis em áreas onde não seria possível tradicionalmente, como em servidores on-premises. O IAM Roles Anywhere utiliza um certificado X.509 confiável para realizar a autenticação na AWS e receber credenciais temporárias. O uso do IAM Roles Anywhere evita a necessidade de alternar essas credenciais, pois credenciais de longo prazo não são mais armazenadas em seu ambiente on-premises. Você precisará monitorar e alternar o certificado X.509 ao aproximar-se da validade.

Recursos

Práticas recomendadas relacionadas:

• SEC02-BP02 Usar credenciais temporárias

• SEC02-BP03 Armazenar e usar segredos com segurança

Documentos relacionados:

• Conceitos básicos do AWS Secrets Manager

• Práticas recomendadas do IAM

• Provedores de identidades e federação

• Soluções de parceiros de segurança: acesso e controle de acesso

• Credenciais de segurança temporárias

• Obter relatórios de credenciais da sua Conta da AWS

Vídeos relacionados:

• Práticas recomendadas para gerenciar, recuperar e alternar segredos em grande escala

• Gerenciar permissões de usuário em grande escala com o AWS IAM Identity Center

• Dominar a identidade em todos os aspectos

Exemplos relacionados:

• Well-Architected Lab: Limpeza automatizada de usuários do IAM

• Well-Architected Lab: Implantação automatizada de grupos e perfis do IAM