SEC08-BP04 Aplicar controle de acesso
Para ajudar a proteger seus dados em repouso, implemente o controle de acesso utilizando mecanismos como isolamento e versionamento e aplique o princípio de privilégio mínimo. Evite conceder acesso público aos seus dados.
Resultado desejado: verifique se somente usuários autorizados podem acessar os dados com base em necessidade estrita de conhecimento. Proteja seus dados com backups regulares e versionamento a fim de impedir a modificação ou a exclusão de dados intencionais ou acidentais. Isole dados críticos de outros dados a fim de proteger a confidencialidade e a integridade desses dados.
Práticas comuns que devem ser evitadas:
-
Armazenar dados com requisitos de confidencialidade ou classificações diferentes juntos.
-
Utilizar permissões excessivamente tolerantes em chaves de descriptografia.
-
Classificar dados de modo inadequado.
-
Não reter backups detalhados de dados importantes.
-
Conceder acesso persistente a dados de produção.
-
Não auditar o acesso aos dados nem rever as permissões regularmente.
Nível de risco exposto se esta prática recomendada não for estabelecida: Baixo
Orientação para implementação
Vários controles podem ajudar a proteger seus dados em repouso, por exemplo, acesso (utilizando privilégio mínimo), isolamento e versionamento. Deve ser feita a auditoria de acesso aos seus dados com os mecanismos de detecção, como AWS CloudTrail e os logs de nível de serviço, como os logs de acesso do Amazon Simple Storage Service (Amazon S3). Você deve inventariar quais dados são acessíveis publicamente e criar um plano para reduzir a quantidade de dados disponíveis ao longo do tempo.
O Amazon S3 Glacier Vault Lock e o Amazon S3 Object Lock fornecem controle de acesso obrigatório para os objetos no Amazon S3. Assim que uma política de cofre é bloqueada com a opção de conformidade, nem mesmo o usuário-raiz pode alterá-la até que o bloqueio expire.
Etapas de implementação
-
Aplique controle de acesso: aplique o controle de acesso com privilégio mínimo, incluindo acesso a chaves de criptografia.
-
Separe os dados com base em diferentes níveis de classificação: use Contas da AWS diferentes para níveis de classificação de dados e gerencie essas contas usando o AWS Organizations.
-
Revise as políticas do AWS Key Management Service (AWS KMS): revise o nível de acesso concedido nas políticas do AWS KMS.
-
Revise as permissões de bucket e objeto do Amazon S3: revise regularmente o nível de acesso concedido em políticas de bucket do S3. Uma das práticas recomendadas é evitar buckets que possam ser lidos ou gravados publicamente. Considere o uso do AWS Config para detectar buckets que estão disponíveis publicamente e do Amazon CloudFront para fornecer conteúdo do Amazon S3. Garanta que os buckets que não devem permitir acesso público sejam configurados adequadamente para evitar o acesso público. Por padrão, todos os buckets do S3 são privados e só ser acessados por usuários que receberam explicitamente esse acesso.
-
Use o AWS IAM Access Analyzer: o IAM Access Analyzer analisa buckets do Amazon S3 e gera uma descoberta quando uma política do S3 concede acesso a uma entidade externa.
-
Use o versionamento do Amazon S3 e o bloqueio de objetos quando apropriado.
-
Use o Inventário Amazon S3: o Inventário Amazon S3 é uma das ferramentas que podem ser usadas para auditar e gerar relatórios sobre o status de replicação e criptografia de seus objetos do S3.
-
Revise as permissões do Amazon EBS e de compartilhamento de AMIs: as permissões de compartilhamento podem permitir que imagens e volumes sejam compartilhados com Contas da AWS externas à sua workload.
-
Revise os compartilhamentos do AWS Resource Access Manager periodicamente para determinar se os recursos devem continuar sendo compartilhados. O Resource Access Manager possibilita compartilhar recursos, como políticas do AWS Network Firewall, regras do Amazon Route 53 Resolver e sub-redes em suas Amazon VPCs. Faça auditoria em recursos compartilhados regularmente e interrompa o compartilhamento dos que não precisam mais ser compartilhados.
Recursos
Práticas recomendadas relacionadas:
Documentos relacionados:
Vídeos relacionados: