SEC02-BP05 Auditar y rotar las credenciales periódicamente
Cuando no pueda confiar en las credenciales temporales y necesite credenciales a largo plazo, audítelas para asegurarse de que los controles definidos, por ejemplo, la autenticación multifactor (MFA), se aplican, se rotan periódicamente y tienen el nivel de acceso adecuado. La validación periódica, preferiblemente mediante una herramienta automatizada, es necesaria para verificar que se apliquen los controles correctos. En el caso de las identidades humanas, debería exigir a los usuarios que cambien sus contraseñas periódicamente y retirar las claves de acceso para sustituirlas por credenciales temporales. Al pasar de los usuarios de AWS Identity and Access Management (IAM) a las identidades centralizadas, puede generar un informe de credenciales para auditar a sus usuarios de IAM. También recomendamos la aplicación de la configuración de MFA en su proveedor de identidades. Puede configurar Reglas de AWS Config para supervisar estas opciones. Para las identidades de máquinas, debería recurrir a credenciales temporales con roles de IAM. En las situaciones en las que esto no sea posible, resulta necesario auditar y rotar con frecuencia las claves de acceso.
Nivel de riesgo expuesto si no se establece esta práctica recomendada: Mediana
Guía para la implementación
-
Audite periódicamente las credenciales: utilice los informes de credenciales y el Analizador de acceso de Identify and Access Management (IAM) para auditar las credenciales y los permisos de IAM.
-
Utilice los niveles de acceso para revisar los permisos de IAM: para mejorar la seguridad de su Cuenta de AWS, revise y supervise periódicamente cada una de sus políticas de IAM. Asegúrese de que sus políticas conceden el privilegio mínimo necesario para realizar solo las acciones necesarias.
-
Considere la posibilidad de automatizar la creación y las actualizaciones de los recursos de IAM: AWS CloudFormation se puede utilizar para automatizar el despliegue de los recursos de IAM, como los roles y las políticas, a fin de reducir los errores humanos, ya que las plantillas pueden verificarse y controlarse las versiones.
Recursos
Documentos relacionados:
Vídeos relacionados: