SEC08-BP04 强制实施访问控制 - AWS Well-Architected Framework

SEC08-BP04 强制实施访问控制

为了帮助保护静态数据,请使用隔离和版本控制等机制强制实施访问控制,并应用最低权限原则。防止允许公众访问您的数据。

期望结果:验证只有获得授权的用户才能按照“需要知晓”的原则访问数据。通过定期备份和版本控制来保护您的数据,防止数据被有意或无意地修改或删除。将关键数据与其他数据隔离,以保护其机密性和数据完整性。

常见反模式:

  • 将具有不同敏感度要求或分类的数据存储在一起。

  • 解密密钥的权限过于宽松。

  • 数据分类不当。

  • 不保留重要数据的详细备份。

  • 提供对生产数据的持久访问。

  • 未审计数据访问,也未定期检查权限

在未建立这种最佳实践的情况下暴露的风险等级:

实施指导

多项控制措施可以帮助保护静态数据,包括访问(使用最低权限)、隔离和版本控制。您应使用检测性机制(例如 AWS CloudTrail)和服务级别日志(例如 Amazon Simple Storage Service(Amazon S3)访问日志),审计对您的数据进行的访问。您应清点可公开访问的数据,并制定一份计划,以便随着时间的推移减少公开可用的数据量。

Amazon S3 Glacier 文件库锁定和 Amazon S3 对象锁定可为 Amazon S3 中的对象提供强制访问控制 – 利用合规性选项锁定文件库策略之后,在锁定过期之前,即使根用户也无法对其进行更改。

实施步骤

  • 强制实施访问控制:强制实施最低权限访问控制,包括对加密密钥的访问。

  • 根据不同分类级别隔离数据:针对数据分类级别使用不同的 AWS 账户,并使用 AWS Organizations 管理这些账户。

  • 查看 AWS Key Management Service(AWS KMS)策略查看 AWS KMS 策略中授予的访问级别

  • 查看 Amazon S3 存储桶和对象权限:定期查看 S3 存储桶策略中授予的访问级别。最佳做法是避免使用可公开读取或写入的存储桶。考虑使用 AWS Config 检测可公开访问的存储桶,并使用 Amazon CloudFront 提供 Amazon S3 中的内容。验证正确配置了不允许公开访问的存储桶,以防止公开访问。默认情况下,所有 S3 存储桶都是私有的,只有被明确授予访问权限的用户才可以访问。

  • 启用 AWS IAM Access AnalyzerIAM Access Analyzer 可对 Amazon S3 存储桶进行分析,并在 S3 策略授予外部实体访问权限时生成结果。

  • 在适当情况下启用 Amazon S3 版本控制对象锁定

  • 使用 Amazon S3 清单:Amazon S3 清单可用来审计和报告 S3 对象的复制和加密状态。

  • 查看 Amazon EBSAMI 共享权限:共享权限将使得镜像和卷能够与您的工作负载外部的 AWS 账户共享。

  • 查看 AWS Resource Access Manager:定期共享,以确定是否应继续共享资源。 您可以通过 Resource Access Manager 在您的 Amazon VPC 内共享资源,如 AWS Network Firewall 策略、Amazon Route 53 解析器规则和子网。定期审计共享资源,停止共享不再需要共享的资源。

资源

相关最佳实践:

相关文档:

相关视频: