SEC08-BP04 Aplicar controle de acesso

Para ajudar a proteger seus dados em repouso, implemente o controle de acesso utilizando mecanismos como isolamento e versionamento e aplique o princípio de privilégio mínimo. Evite conceder acesso público aos seus dados.

Resultado desejado: verifique se somente usuários autorizados podem acessar os dados com base em necessidade estrita de conhecimento. Proteja seus dados com backups regulares e versionamento a fim de impedir a modificação ou a exclusão de dados intencionais ou acidentais. Isole dados críticos de outros dados a fim de proteger a confidencialidade e a integridade desses dados.

Práticas comuns que devem ser evitadas:

• Armazenar dados com requisitos de confidencialidade ou classificações diferentes juntos.

• Utilizar permissões excessivamente tolerantes em chaves de descriptografia.

• Classificar dados de modo inadequado.

• Não reter backups detalhados de dados importantes.

• Conceder acesso persistente a dados de produção.

• Não auditar o acesso aos dados nem rever as permissões regularmente.

Nível de risco exposto se esta prática recomendada não for estabelecida: Baixo

Orientação para implementação

Vários controles podem ajudar a proteger seus dados em repouso, por exemplo, acesso (utilizando privilégio mínimo), isolamento e versionamento. Deve ser feita a auditoria de acesso aos seus dados com os mecanismos de detecção, como AWS CloudTrail e os logs de nível de serviço, como os logs de acesso do Amazon Simple Storage Service (Amazon S3). Você deve inventariar quais dados são acessíveis publicamente e criar um plano para reduzir a quantidade de dados disponíveis ao longo do tempo.

O Amazon S3 Glacier Vault Lock e o Amazon S3 Object Lock fornecem controle de acesso obrigatório para os objetos no Amazon S3. Assim que uma política de cofre é bloqueada com a opção de conformidade, nem mesmo o usuário-raiz pode alterá-la até que o bloqueio expire.

Etapas de implementação

• Aplique controle de acesso: aplique o controle de acesso com privilégio mínimo, incluindo acesso a chaves de criptografia.

• Separe os dados com base em diferentes níveis de classificação: use Contas da AWS diferentes para níveis de classificação de dados e gerencie essas contas usando o AWS Organizations.

• Revise as políticas do AWS Key Management Service (AWS KMS): revise o nível de acesso concedido nas políticas do AWS KMS.

• Revise as permissões de bucket e objeto do Amazon S3: revise regularmente o nível de acesso concedido em políticas de bucket do S3. Uma das práticas recomendadas é evitar buckets que possam ser lidos ou gravados publicamente. Considere o uso do AWS Config para detectar buckets que estão disponíveis publicamente e do Amazon CloudFront para fornecer conteúdo do Amazon S3. Garanta que os buckets que não devem permitir acesso público sejam configurados adequadamente para evitar o acesso público. Por padrão, todos os buckets do S3 são privados e só ser acessados por usuários que receberam explicitamente esse acesso.

• Use o AWS IAM Access Analyzer: o IAM Access Analyzer analisa buckets do Amazon S3 e gera uma descoberta quando uma política do S3 concede acesso a uma entidade externa.

• Use o versionamento do Amazon S3 e o bloqueio de objetos quando apropriado.

• Use o Inventário Amazon S3: o Inventário Amazon S3 é uma das ferramentas que podem ser usadas para auditar e gerar relatórios sobre o status de replicação e criptografia de seus objetos do S3.

• Revise as permissões do Amazon EBS e de compartilhamento de AMIs: as permissões de compartilhamento podem permitir que imagens e volumes sejam compartilhados com Contas da AWS externas à sua workload.

• Revise os compartilhamentos do AWS Resource Access Manager periodicamente para determinar se os recursos devem continuar sendo compartilhados. O Resource Access Manager possibilita compartilhar recursos, como políticas do AWS Network Firewall, regras do Amazon Route 53 Resolver e sub-redes em suas Amazon VPCs. Faça auditoria em recursos compartilhados regularmente e interrompa o compartilhamento dos que não precisam mais ser compartilhados.

Recursos

Práticas recomendadas relacionadas:

• SEC03-BP01 Definir requisitos de acesso

• SEC03-BP02 Conceder acesso de privilégio mínimo

Documentos relacionados:

• Whitepaper Detalhes criptográficos do AWS KMS

• Introdução ao gerenciamento de permissões de acesso aos recursos do Amazon S3

• Visão geral do gerenciamento de acesso a recursos do AWS KMS

• Regras do AWS Config

• Amazon S3 + Amazon CloudFront: uma combinação feita na nuvem

• Usar versionamento

• Bloquear objetos usando o bloqueio de objetos do Amazon S3

• Compartilhar um snapshot do Amazon EBS

• AMIs compartilhadas

• Hospedar uma aplicação de página única no Amazon S3

Vídeos relacionados:

• Como proteger seu armazenamento em bloco na AWS