SEC03-BP09 Sicheres Teilen von Ressourcen mit Dritten
Die Sicherheit Ihrer Cloud-Umgebung endet nicht bei Ihrer Organisation. Möglicherweise stützt sich Ihre Organisation auf eine Drittpartei, um einen Teil Ihrer Daten zu verwalten. Das Berechtigungsmanagement für das von Dritten verwaltete System sollte dem Prinzip des Just-in-time-Zugriffs und dem der geringsten Berechtigung mit temporären Anmeldeinformationen folgen. Durch die enge Zusammenarbeit mit einer Drittpartei können Sie die möglichen Auswirkungen und das Risiko unbeabsichtigter Zugriffe gemeinsam senken.
Gewünschtes Ergebnis: Sie vermeiden die Verwendung von langfristigen AWS Identity and Access Management (IAM)-Anmeldeinformationen wie Zugriffsschlüsseln und geheimen Schlüsseln, da diese bei Missbrauch ein Sicherheitsrisiko darstellen. Stattdessen verwenden Sie IAM-Rollen und temporäre Anmeldeinformationen, um Ihre Sicherheitslage zu verbessern und den operativen Aufwand für die Verwaltung langfristiger Anmeldeinformationen zu minimieren. Wenn Sie Dritten Zugriff erteilen, verwenden Sie eine universell eindeutige Kennung (UUID, Universally Unique Identifier) als externe ID in der IAM-Vertrauensrichtlinie und lassen die IAM-Richtlinien an die Rolle unter Ihrer Kontrolle angefügt, um einen Zugriff mit geringsten Berechtigungen sicherzustellen. Eine verbindliche Anleitung für die Analyse extern freigegebener Ressourcen finden Sie unter SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs.
Typische Anti-Muster:
-
Verwendung der Standard-IAM-Vertrauensrichtlinie ohne Bedingungen
-
Verwenden langfristiger IAM-Anmeldeinformationen und Zugriffsschlüssel
-
Wiederverwendung externer IDs
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel
Implementierungsleitfaden
Möglicherweise möchten Sie die Freigabe von Ressourcen außerhalb von AWS Organizations zulassen oder einer Drittpartei den Zugriff auf Ihr Konto gewähren. So könnte etwa eine Drittpartei eine Überwachungslösung bereitstellen, die auf Ressourcen in Ihrem Konto zugreifen muss. In solchen Fällen sollten Sie eine kontoübergreifende IAM-Rolle erstellen, die nur über die von der Drittpartei benötigten Berechtigungen verfügt. Definieren Sie außerdem eine Vertrauensrichtlinie mithilfe der externen ID-Bedingung. Wenn eine externe ID verwendet wird, können Sie oder die Drittpartei eine eindeutige ID für jede(n) Kunden, Drittpartei oder Tenancy generieren. Die eindeutige ID sollte nach ihrer Erstellung ausschließlich von Ihnen kontrolliert werden. Die Drittpartei muss einen Prozess implementieren, durch den die externe ID in sicherer, prüfbarer und reproduzierbarer Weise dem Kunden zugeordnet wird.
Sie können IAM Roles Anywhere auch verwenden, um IAM-Rollen für Anwendungen außerhalb von AWS zu verwalten, die AWS-APIs verwenden.
Wenn die Drittpartei keinen Zugriff mehr auf Ihre Umgebung benötigt, entfernen Sie die Rolle. Vermeiden Sie die Weitergabe langfristiger Anmeldeinformationen an Dritte. Informieren Sie sich über andere AWS-Services zur Unterstützung von Freigaben, z. B. AWS Well-Architected Tool, der das Freigeben eines Workloads für andereAWS-Konten unterstützt, und AWSResource Access Manager, der Ihnen hilft, eine AWS-Ressource in Ihrem Besitz auf sichere Weise für andere Konten freizugeben.
Implementierungsschritte
-
Verwenden Sie kontoübergreifende Rollen, um Zugriff auf externe Konten zu gewähren. Kontoübergreifende Rollen reduzieren die Menge vertraulicher Informationen, die von externen Konten und Dritten gespeichert werden, um ihre Kunden zu betreuen. Kontoübergreifende Rollen ermöglichen die sichere Gewährung des Zugriffs auf AWS-Ressourcen in Ihrem Konto für Drittparteien wie AWS-Partner oder andere Konten in Ihrer Organisation. Gleichzeitig wird die Möglichkeit gewahrt, diesen Zugriff zu verwalten und zu überprüfen. Möglicherweise stellt Ihnen die Drittpartei Dienstleistungen aus einer hybriden Infrastruktur heraus bereit oder ruft Daten zu einem anderen Standort ab. Mit IAM Roles Anywhere können Ihre Drittanbieter-Workloads sicher mit Ihren AWS-Workloads interagieren und die Notwendigkeit für langfristige Anmeldeinformationen weiter reduzieren.
Sie sollten keine langfristigen Anmeldeinformationen oder Benutzern zugeordnete Zugriffsschlüssel verwenden, um externen Zugriff auf Konten zu erteilen. Verwenden Sie stattdessen kontoübergreifende Rollen, um kontoübergreifenden Zugriff zu gewähren.
-
Führen Sie Due-Diligence-Prüfungen durch und sorgen Sie für einen sicheren Zugriff für SaaS-Drittanbieter. Führen Sie bei der Freigabe von Ressourcen für SaaS-Drittanbieter eine gründliche Due-Diligence-Prüfung durch, um sicherzustellen, dass diese beim Zugriff auf Ihre AWS-Ressourcen sicher und verantwortungsbewusst vorgehen. Evaluieren Sie ihr Modell der gemeinsamen Verantwortung, um zu verstehen, welche Sicherheitsmaßnahmen diese Drittanbieter bereitstellen und für welche Bereiche Sie verantwortlich sind. Stellen Sie sicher, dass die SaaS-Anbieter über einen sicheren und überprüfbaren Prozess für den Zugriff auf Ihre Ressourcen verfügen, einschließlich der Verwendung externer IDs und des Prinzips des geringsten Zugriffs. Die Verwendung externer IDs trägt dazu bei, das Confused-Deputy-Problem
zu lösen. Implementieren Sie Sicherheitskontrollen, um einen sicheren Zugriff und die Einhaltung des Prinzips der geringsten Berechtigung sicherzustellen, wenn Sie SaaS-Drittanbietern Zugriff erteilen. Dies kann die Verwendung von externen IDs, Universally Unique Identifiers (UUIDs) und IAM-Vertrauensrichtlinien umfassen, die den Zugriff auf das unbedingt Notwendige einschränken. Arbeiten Sie eng mit dem SaaS-Anbieter zusammen, um sichere Zugriffsmechanismen einzurichten, den Zugriff auf Ihre AWS-Ressourcen regelmäßig zu überprüfen und Audits durchzuführen, um die Einhaltung Ihrer Sicherheitsanforderungen sicherzustellen.
-
Verwenden Sie vom Kunden bereitgestellte langfristige Anmeldeinformationen nicht mehr. Beenden Sie die Verwendung langfristiger Anmeldeinformationen, und verwenden Sie kontoübergreifende Rollen oder IAM Roles Anywhere. Wenn Sie langfristige Anmeldeinformationen verwendet müssen, formulieren Sie einen Plan für die Migration rollenbasierter Zugriffe. Einzelheiten zur Verwaltung von Schlüsseln finden Sie unter Identitätsverwaltung. Sie sollten außerdem zusammen mit Ihrem AWS-Konto-Team und dem Drittanbieter ein Runbook für die Risikominderung erstellen. Verbindliche Anleitungen für Reaktionen auf Sicherheitsvorfälle und die Minderung ihrer potenziellen Auswirkungen finden Sie unter Vorfallsreaktion.
-
Stellen Sie sicher, dass die Einrichtung über verbindliche Anleitungen verfügt oder automatisiert ist. Die externe ID wird nicht als Secret behandelt, ihr Wert darf aber nicht leicht zu erraten sein wie etwa eine Telefonnummer, ein Name oder eine Konto-ID. Machen Sie die externe ID zu einem schreibgeschützten Feld, damit sie nicht für illegitime Einrichtungen geändert werden kann.
Die externe ID kann von Ihnen oder von der Drittpartei generiert werden. Richten Sie einen Prozess ein, um festzulegen, wer für die Generierung der ID verantwortlich ist. Unabhängig von der Entität, die die externe ID erstellt, setzt die Drittpartei Eindeutigkeit und Formate in konsistenter Weise für alle Kunden durch.
Die Richtlinie, die für den kontoübergreifenden Zugriff in Ihren Konten erstellt wurde, muss dem Prinzip der geringsten Berechtigung entsprechen. Die Drittpartei muss ein Rollenrichtliniendokument oder einen automatisierten Einrichtungsmechanismus bereitstellen, der eine AWS CloudFormation-Vorlage oder ein Äquivalent verwendet. Dies reduziert die Gefahr von Fehlern durch die manuelle Erstellung von Richtlinien und bietet einen Überwachungspfad. Weitere Informationen zur Verwendung einer AWS CloudFormation-Vorlage zum Erstellen kontoübergreifender Rollen finden Sie unter Kontoübergreifende Rollen
. Die Drittpartei muss einen automatisierten und prüfbaren Einrichtungsmechanismus bereitstellen. Sie sollten jedoch die Einrichtung der Rolle automatisieren, indem Sie das Rollenrichtliniendokument verwenden, das den erforderlichen Zugriff angibt. Sie sollten mithilfe der AWS CloudFormation-Vorlage oder einer gleichwertigen Methode Änderungen überwachen. Die Erkennung von Abweichungen sollte Teil dieser Überwachung sein.
-
Berücksichtigen Sie Änderungen. Ihre Kontostruktur und Ihr Bedarf an einer Drittpartei bzw. deren Serviceangebots können sich über Nacht ändern. Sie sollten Änderungen und Ausfälle antizipieren und mit den richtigen Personen, Prozessen und Technologielösungen entsprechend planen. Prüfen Sie regelmäßig das von Ihnen bereitgestellte Zugriffsniveau und implementieren Sie Erkennungsverfahren, die Sie auf unerwartete Änderungen aufmerksam machen. Überwachen und prüfen Sie die Verwendung der externen Rolle und den Datenspeicher der externen IDs. Sie sollten darauf vorbereitet sein, den Zugriff der Drittpartei temporär oder dauerhaft zu widerrufen, wenn sich unerwartete Änderungen oder Zugriffsmuster ergeben. Messen Sie auch die Auswirkungen Ihrer Widerrufaktion, einschließlich der dafür benötigten Zeit, der involvierten Personen, der Kosten und der Auswirkungen auf andere Ressourcen.
Verbindliche Anleitungen zu Erkennungsmethoden finden Sie unter Bewährte Methoden zur Erkennung.
Ressourcen
Zugehörige bewährte Methoden:
Zugehörige Dokumente:
-
Bucket-Besitzer gewährt kontoübergreifende Berechtigung für Objekte, die er nicht besitzt
-
Delegieren des Zugriffs für AWS-Konten mithilfe von IAM-Rollen
-
Wie greife ich mithilfe von IAM auf Ressourcen in einem anderen AWS-Konto zu?
-
Verwenden einer externen ID beim Erteilen von Zugriff auf Ihre AWS-Ressourcen für Dritte
-
Sichere Verwendung einer externen ID für den Zugriff auf AWS-Konten im Besitz anderer Benutzer
-
Erweitern von IAM-Rollen auf Workloads außerhalb von IAM mithilfe von IAM Roles Anywhere
Zugehörige Videos:
Zugehörige Beispiele:
