SEC03-BP04 Reduzir as permissões continuamente

À medida que suas equipes determinarem o acesso de que precisam, remova as permissões desnecessárias e estabeleça processos de análise para obter permissões de privilégio mínimo. Monitore e remova continuamente identidades e permissões não utilizadas para acesso humano e de máquina.

Resultado desejado: as políticas de permissão devem seguir o princípio de privilégio mínimo. À medida que os cargos e os perfis se tornem mais bem definidos, suas políticas de permissões precisam ser analisadas para remover permissões desnecessárias. Essa abordagem reduz o escopo do impacto caso as credenciais sejam expostas de forma acidental ou sejam acessadas sem autorização.

Antipadrões comuns:

• Usar como padrão a concessão de permissões de administrador aos usuários.

• Criar políticas permissivas demais, mas sem privilégios completos de administrador.

• Manter as políticas de permissão quando não são mais necessárias.

Nível de risco exposto se esta prática recomendada não é estabelecida: médio

Orientação de implementação

Enquanto as equipes e os projetos estiverem começando, políticas de permissão permissivas podem ser usadas para inspirar inovação e agilidade. Por exemplo, em um ambiente de desenvolvimento ou teste, os desenvolvedores podem receber acesso a uma ampla gama de serviços da AWS. Recomendamos avaliar o acesso de forma contínua e restringir o acesso somente àqueles serviços e ações de serviço necessários para concluir o trabalho atual. Recomendamos essa avaliação para identidades humanas e de máquina. Identidades de máquina, às vezes, denominadas contas de sistema ou serviço, são identidades que fornecem acesso da AWS a aplicações ou servidores. Esse acesso é especialmente importante em um ambiente de produção, em que as permissões excessivamente permissivas podem causar um grande impacto e expor dados dos clientes.

A AWS oferece vários métodos para ajudar a identificar usuários, perfis, permissões e credenciais não utilizados. A AWS também pode ajudar a analisar a atividade de acesso dos usuários e dos perfis do IAM, como chaves de acesso associadas, e o acesso aos recursos da AWS, como objetos em buckets do Amazon S3. A geração de políticas do AWS Identity and Access Management Access Analyzer pode auxiliar você a criar políticas de permissão restritivas com base nos serviços e nas ações reais com os quais uma entidade principal interage. O controle de acesso baseado em atributo (ABAC) pode ajudar a simplificar o gerenciamento de permissões, pois você pode conceder permissões aos usuários utilizando os atributos deles em vez de anexar políticas de permissões diretamente a cada usuário.

Etapas da implementação

• Utilizar o AWS Identity and Access Management Access Analyzer: o IAM Access Analyzer ajuda a identificar os recursos na organização e nas contas, como buckets do Amazon Simple Storage Service (Amazon S3) ou perfis do IAM, que são compartilhados com uma entidade externa.

• Utilizar a geração de políticas do IAM Access Analyzer: a geração de políticas do IAM Access Analyzer ajuda você a criar políticas de permissão detalhadas com base em um usuário do IAM ou na atividade de acesso de um perfil.

• Determinar um cronograma e uma política de uso aceitáveis para usuários e perfis do IAM: utilize o carimbo de data e hora de último acesso para identificar usuários e perfis não utilizados e removê-los. Revise as informações de serviço e ação acessadas mais recentemente para identificar e definir o escopo das permissões para usuários e perfis específicos. Por exemplo, você pode usar as informações acessadas mais recentemente para identificar as ações específicas do Amazon S3 exigidas pelo perfil da aplicação e restringir o acesso do perfil apenas a essas ações. Os recursos de informações acessadas mais recentemente estão disponíveis no AWS Management Console e de maneira programática para permitir que você os incorpore aos fluxos de trabalho de infraestrutura e ferramentas automatizadas.

• Considerar o registro em log dos eventos de dados no AWS CloudTrail: por padrão, o CloudTrail não registra eventos de dados, como atividade em nível de objeto do Amazon S3 (por exemplo, GetObject e DeleteObject) ou atividades de tabelas do Amazon DynamoDB (por exemplo, PutItem e DeleteItem). Considere ativar o registro em log desses eventos para determinar quais usuários e perfis precisam acessar objetos do Amazon S3 ou itens de tabelas do DynamoDB específicos.

Recursos

Documentos relacionados:

• Conceder privilégio mínimo

• Remova credenciais desnecessárias

• O que é o AWS CloudTrail?

• Trabalhando com políticas

• Registrar em log e monitorar no DynamoDB

• Habilitar o log de eventos do CloudTrail para buckets e objetos do Amazon S3

• Obter relatórios de credenciais da sua Conta da AWS

Vídeos relacionados:

• Torne-se um mestre em políticas do IAM em 60 minutos ou menos

• Separação de tarefas, privilégio mínimo, delegação e CI/CD

• AWS re:Inforce 2022: Aprofundamento no AWS Identity and Access Management (IAM)