SEC03-BP07 Analisar o acesso público e entre contas

Monitore continuamente as descobertas que destacam o acesso público e entre contas. Reduza o acesso público e o acesso entre contas somente aos recursos específicos que exigem esse acesso.

Resultado desejado: saber quais de seus recursos da AWS são compartilhados e com quem. Monitorar e auditar continuamente seus recursos compartilhados para verificar se eles são compartilhados com apenas entidades principais autorizadas.

Antipadrões comuns:

• Não manter um inventário dos recursos compartilhados.

• Não seguir um processo de aprovação do acesso público ou entre contas aos recursos.

Nível de exposição a riscos quando esta prática recomendada não é estabelecida: baixo

Orientação de implementação

Se a sua conta estiver no AWS Organizations, você poderá conceder acesso aos recursos à toda a organização, a unidades organizacionais específicas ou a contas individuais. Se sua conta não for membro de uma organização, você poderá compartilhar recursos com contas individuais. Você pode conceder acesso direto entre contas usando políticas baseadas em recursos, por exemplo, políticas de buckets do Amazon Simple Storage Service (Amazon S3) ou permitindo que uma identidade principal em outra conta assuma um perfil do IAM em sua conta. Ao utilizar políticas de recursos, verifique se o acesso é concedido apenas a entidades principais autorizadas. Defina um processo para aprovar todos os recursos que devem ser acessíveis publicamente.

O AWS Identity and Access Management Access Analyzer utiliza segurança demonstrável para identificar todos os caminhos de acesso a um recurso de fora de sua conta. Ele revisa as políticas de recursos continuamente e relata descobertas de acesso público e entre contas para facilitar a análise de acesso potencialmente amplo. Considere configurar o IAM Access Analyzer com o AWS Organizations para verificar se você tem visibilidade a todas as suas contas. O IAM Access Analyzer também possibilita que você visualize descobertas antes de implantar permissões de recursos. Isso permite validar que as alterações de política concedam apenas o acesso público e entre contas pretendido aos seus recursos. Ao projetar o acesso a várias contas, é possível utilizar políticas de confiança para controlar em quais casos um perfil pode ser assumido. Por exemplo, você pode usar a chave de condição PrincipalOrgId para negar uma tentativa de assumir um perfil de fora de seu AWS Organizations.

O AWS Config pode relatar recursos configurados incorretamente, e por meio de verificações de politica do AWS Config, pode detectar recursos que tenham acesso público configurado. Serviços, como AWS Control Tower e AWS Security Hub simplificam a implantação de controles de detecção e barreiras de proteção nos AWS Organizations para identificar e corrigir recursos publicamente expostos. Por exemplo, o AWS Control Tower tem uma barreira de proteção gerenciada que pode detectar se algum snapshot do Amazon EBS é restaurado por Contas da AWS.

Etapas da implementação

• Pensar em ativar o AWS Config para AWS Organizations: o AWS Config permite que você agregue as descobertas de várias contas em um AWS Organizations em uma conta de administrador delegada. Isso oferece uma visão abrangente e permite que você implante o Regras do AWS Config nas contas para detectar recursos acessíveis ao público.

• Configurar o AWS Identity and Access Management Access Analyzer o IAM Access Analyzer ajuda a identificar os recursos na organização e nas contas, como buckets do Amazon S3 ou perfis do IAM, que são compartilhados com uma entidade externa.

• Usar autocorreção no AWS Config para responder a alterações na configuração do acesso público de buckets do Amazon S3: é possível reativar automaticamente as configurações de acesso público de bloco para buckets do Amazon S3.

• Implementar o monitoramento e os alertas para identificar se os buckets do Amazon S3 se tornaram públicos: é necessário ter o monitoramento e os alertas implementados para identificar quando o acesso público de blocos do Amazon S3 foi desativado e se os buckets do Amazon S3 se tornaram públicos. Além disso, se você estiver usando o AWS Organizations, poderá criar uma política de controle de serviços que impeça alterações nas políticas de acesso público do Amazon S3. O AWS Trusted Advisor confere se há buckets do Amazon S3 com permissões de acesso abertas. As permissões de bucket que concedem, upload ou excluem acesso a todos criam possíveis problemas de segurança, pois permitem que qualquer pessoa adicione, modifique ou remova itens em um bucket. A verificação do Trusted Advisor examina as permissões de bucket explícitas e as políticas de bucket associadas que podem substituir as permissões de bucket. Você também pode utilizar o AWS Config para monitorar seus buckets do Amazon S3 para acesso público. Para ter mais informações, consulte Como usar o AWS Config para monitorar e responder a buckets do Amazon S3 que possibilitam acesso público. Ao revisar o acesso, é importante considerar quais tipos de dados estão contidos em buckets do Amazon S3. O Amazon Macie ajuda a descobrir e proteger dados sigilosos, como PII, PHI e credenciais, como chaves privadas ou da AWS.

Recursos

Documentos relacionados:

• Usar o AWS Identity and Access Management Access Analyzer

• Biblioteca de controles do AWS Control Tower

• Norma de práticas de segurança básicas da AWS

• Regras gerenciadas do AWS Config

• Referência de verificação do AWS Trusted Advisor

• Monitorar resultados da verificação do AWS Trusted Advisor com o Amazon EventBridge

• Gerenciar regras do AWS Config em todas as contas de sua organização

• AWS Config e AWS Organizations

Vídeos relacionados:

• Práticas recomendadas para proteger seu ambiente de várias contas

• Análise aprofundada do IAM Access Analyzer