SEC03-BP07 分析公共和跨账户访问 - 安全性支柱
实施指导 资源

SEC03-BP07 分析公共和跨账户访问

对于标识出存在公共访问和跨账户访问情况的调查结果,应持续监控。减少公共访问和跨账户访问,使访问仅能触达特定资源。

期望结果:了解您的 AWS 资源中哪些是共享的,以及与谁共享。持续监控和审计您的共享资源,以验证它们仅与授权的主体共享。

常见反模式:

  • 不保留共享资源的清单。

  • 跨账户访问或公开访问资源时,没有遵循流程。

在未建立这种最佳实践的情况下暴露的风险等级:

实施指导

如果您的账户在 AWS Organizations 中,您可以向整个组织、特定组织单位或个人账户授予资源访问权限。如果您的账户不是某个组织的成员,您可以与个人账户共享资源。您可以使用基于资源的策略(例如 Amazon Simple Storage Service(Amazon S3)存储桶策略)授予直接跨账户访问权限,也可以允许另一账户中的主体代入您账户中的 IAM 角色来授予该权限。使用资源策略时,请验证访问权限是否仅授予给经过授权的主体。建立一个流程来审批所有需要可公开访问的资源。

AWS Identity and Access Management Access Analyzer 使用可证明的安全性来标识从账户的外部访问某个资源时的所有访问路径。它持续审核资源策略,并报告公开访问和跨账户访问的调查结果,以使您能够轻松分析可能非常宽泛的访问权限。不妨考虑配置 IAM Access Analyzer 与 AWS Organizations,来验证您是否能够查看所有账户。IAM Access Analyzer 也使得您能够先预览调查结果,然后再部署资源权限。这样,您便可以证实更改策略之后,只有您所希望的对象能够授权通过公共和跨账户访问方式触达您的资源。在设计多账户访问权限时,您可以使用信任策略来控制在何种情况下允许代入某个角色。例如,您可以使用 PrincipalOrgId 条件键来拒绝从 AWS Organizations 之外代入角色的尝试

AWS Config 可以报告资源配置错误的情况,并且通过 AWS Config 策略检查,可以检测有何资源配置了公共访问权限。AWS Control TowerAWS Security Hub 等服务简化了跨 AWS Organizations 部署检测性控制和防护机制的流程,可以识别并修复资源公开暴露的情况。例如,AWS Control Tower 具有托管防护机制,可以检测是否有任何 Amazon EBS 快照可由 AWS 账户恢复

实施步骤

  • 考虑为 AWS Organizations 启用 AWS ConfigAWS Config 使得您能够将 AWS Organizations 内多个账户的调查结果聚合到一个委派的管理员账户。这将给您提供全局视角,进行跨账户部署 AWS Config 规则 ,以检测可公开访问的资源

  • 配置 AWS Identity and Access Management Access Analyzer IAM Access Analyzer 可帮助您识别组织和账户中与外部实体共享的资源,例如 Amazon S3 存储桶或 IAM 角色。

  • 在 AWS Config 中使用自动修复来响应 Amazon S3 存储桶公共访问配置的变更情况:您可以自动重新启用 Amazon S3 存储桶阻止公共访问的设置

  • 实施监控和警报,以确定 Amazon S3 存储桶是否已变得能够公开访问:您必须设置监控和警报,以确定何时禁用 Amazon S3 屏蔽公共访问权限,以及 Amazon S3 存储桶是否已变得能够公开访问。此外,如果您使用 AWS Organizations,则可以创建一个服务控制策略来防止更改 Amazon S3 公共访问策略。AWS Trusted Advisor 检查是否存在具有开放访问权限的 Amazon S3 存储桶。如果向每个人授予“上传/删除”权限,那么任何人都可以向存储桶添加项目或者修改或删除存储桶中的项目,这样会产生潜在的安全问题。Trusted Advisor 可以检查存储桶明确拥有哪些权限,以及是否存在可能能够覆写这些权限的相关存储桶策略。您也可以使用 AWS Config 来监控 Amazon S3 存储桶是否具有公共访问权限。有关更多信息,请参阅如何使用 AWS Config 监控Amazon S3 存储桶允许公共访问的情况并作出响应。检查访问权限时,重要的是要考虑 Amazon S3 存储桶中包含哪些类型的数据。Amazon Macie 有助发现和保护敏感数据,比如 PII、PHI 和凭证(如私有密钥或 AWS 密钥)。

资源

相关文档:

相关视频: