SEC03-BP07 Analisar o acesso público e entre contas
Monitore continuamente as descobertas que destacam o acesso público e entre contas. Reduza o acesso público e o acesso entre contas somente aos recursos específicos que exigem esse acesso.
Resultado desejado: saber quais de seus recursos da AWS são compartilhados e com quem. Monitorar e auditar continuamente seus recursos compartilhados para verificar se eles são compartilhados com apenas entidades principais autorizadas.
Antipadrões comuns:
-
Não manter um inventário dos recursos compartilhados.
-
Não seguir um processo de aprovação do acesso público ou entre contas aos recursos.
Nível de exposição a riscos quando esta prática recomendada não é estabelecida: baixo
Orientação de implementação
Se a sua conta estiver no AWS Organizations, você poderá conceder acesso aos recursos à toda a organização, a unidades organizacionais específicas ou a contas individuais. Se sua conta não for membro de uma organização, você poderá compartilhar recursos com contas individuais. Você pode conceder acesso direto entre contas usando políticas baseadas em recursos, por exemplo, políticas de buckets do Amazon Simple Storage Service (Amazon S3) ou permitindo que uma identidade principal em outra conta assuma um perfil do IAM em sua conta. Ao utilizar políticas de recursos, verifique se o acesso é concedido apenas a entidades principais autorizadas. Defina um processo para aprovar todos os recursos que devem ser acessíveis publicamente.
O AWS Identity and Access Management Access AnalyzerPrincipalOrgId
para negar uma tentativa de assumir um perfil de fora de seu AWS Organizations
O AWS Config pode relatar recursos configurados incorretamente, e por meio de verificações de politica do AWS Config, pode detectar recursos que tenham acesso público configurado. Serviços, como AWS Control Tower
Etapas da implementação
-
Pensar em ativar o AWS Config para AWS Organizations: o AWS Config permite que você agregue as descobertas de várias contas em um AWS Organizations em uma conta de administrador delegada. Isso oferece uma visão abrangente e permite que você implante o Regras do AWS Config nas contas para detectar recursos acessíveis ao público.
-
Configurar o AWS Identity and Access Management Access Analyzer o IAM Access Analyzer ajuda a identificar os recursos na organização e nas contas, como buckets do Amazon S3 ou perfis do IAM, que são compartilhados com uma entidade externa.
-
Usar autocorreção no AWS Config para responder a alterações na configuração do acesso público de buckets do Amazon S3: é possível reativar automaticamente as configurações de acesso público de bloco para buckets do Amazon S3
. -
Implementar o monitoramento e os alertas para identificar se os buckets do Amazon S3 se tornaram públicos: é necessário ter o monitoramento e os alertas
implementados para identificar quando o acesso público de blocos do Amazon S3 foi desativado e se os buckets do Amazon S3 se tornaram públicos. Além disso, se você estiver usando o AWS Organizations, poderá criar uma política de controle de serviços que impeça alterações nas políticas de acesso público do Amazon S3. O AWS Trusted Advisor confere se há buckets do Amazon S3 com permissões de acesso abertas. As permissões de bucket que concedem, upload ou excluem acesso a todos criam possíveis problemas de segurança, pois permitem que qualquer pessoa adicione, modifique ou remova itens em um bucket. A verificação do Trusted Advisor examina as permissões de bucket explícitas e as políticas de bucket associadas que podem substituir as permissões de bucket. Você também pode utilizar o AWS Config para monitorar seus buckets do Amazon S3 para acesso público. Para ter mais informações, consulte Como usar o AWS Config para monitorar e responder a buckets do Amazon S3 que possibilitam acesso público . Ao revisar o acesso, é importante considerar quais tipos de dados estão contidos em buckets do Amazon S3. O Amazon Macie ajuda a descobrir e proteger dados sigilosos, como PII, PHI e credenciais, como chaves privadas ou da AWS.
Recursos
Documentos relacionados:
Vídeos relacionados: