SEC08-BP04 强制实施访问控制
为了帮助保护静态数据,请使用隔离和版本控制等机制强制实施访问控制,并应用最低权限原则。防止允许公众访问您的数据。
期望结果:验证只有获得授权的用户才能按照“需要知晓”的原则访问数据。通过定期备份和版本控制来保护您的数据,防止数据被有意或无意地修改或删除。将关键数据与其他数据隔离,以保护其机密性和数据完整性。
常见反模式:
-
将具有不同敏感度要求或分类的数据存储在一起。
-
解密密钥的权限过于宽松。
-
数据分类不当。
-
不保留重要数据的详细备份。
-
提供对生产数据的持久访问。
-
未审计数据访问,也未定期检查权限。
在未建立这种最佳实践的情况下暴露的风险等级:低
实施指导
多项控制措施可以帮助保护静态数据,包括访问(使用最低权限)、隔离和版本控制。您应使用检测性机制(例如 AWS CloudTrail)和服务级别日志 [例如 Amazon Simple Storage Service(Amazon S3)访问日志],审计对您的数据进行的访问。您应清点可公开访问的数据,并制定一份计划,以便随着时间的推移减少公开可用的数据量。
Amazon S3 Glacier 文件库锁定和 Amazon S3 对象锁定可为 Amazon S3 中的对象提供强制访问控制 – 利用合规性选项锁定文件库策略之后,在锁定过期之前,即使根用户也无法对其进行更改。
实施步骤
-
强制实施访问控制:强制实施最低权限访问控制,包括对加密密钥的访问。
-
根据不同分类级别隔离数据:针对数据分类级别使用不同的 AWS 账户,并使用 AWS Organizations 管理这些账户。
-
查看 AWS Key Management Service(AWS KMS)策略:查看 AWS KMS 策略中授予的访问级别。
-
查看 Amazon S3 存储桶和对象权限:定期查看 S3 存储桶策略中授予的访问级别。最佳做法是避免使用可公开读取或写入的存储桶。考虑使用 AWS Config 检测可公开访问的存储桶,并使用 Amazon CloudFront 提供 Amazon S3 中的内容。验证正确配置了不允许公开访问的存储桶,以防止公开访问。默认情况下,所有 S3 存储桶都是私有的,只有被明确授予访问权限的用户才可以访问。
-
启用 AWS IAM Access Analyzer:IAM Access Analyzer 可对 Amazon S3 存储桶进行分析,并在 S3 策略授予外部实体访问权限时生成调查发现。
-
在适当情况下启用 Amazon S3 版本控制和对象锁定。
-
使用 Amazon S3 清单:Amazon S3 清单可用来审计和报告 S3 对象的复制和加密状态。
-
查看 Amazon EBS 和 AMI 共享权限:共享权限将使得映像和卷能够与您的工作负载外部的 AWS 账户 共享。
-
查看 AWS Resource Access Manager:定期共享,以确定是否应继续共享资源。您可以通过 Resource Access Manager 在您的 Amazon VPC 内共享资源,如 AWS Network Firewall 策略、Amazon Route 53 Resolver 规则和子网。定期审计共享资源,停止共享不再需要共享的资源。
资源
相关最佳实践:
相关文档:
相关视频:
