SEC08-BP04 Imponga el control de acceso - AWS Marco Well-Architected

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

SEC08-BP04 Imponga el control de acceso

Para ayudarlo a proteger sus datos en reposo, aplique el control de acceso mediante mecanismos como el aislamiento y el control de versiones, y utilice el principio del privilegio mínimo. Impida que se conceda acceso público a sus datos.

Resultado deseado: compruebe que solo los usuarios autorizados puedan acceder a los datos de forma determinada. need-to-know Proteja sus datos con copias de seguridad periódicas y el control de versiones para evitar que se modifiquen o eliminen de forma intencionada o involuntaria. Aísle los datos críticos de otros datos para proteger su confidencialidad e integridad.

Patrones comunes de uso no recomendados:

  • Almacenar juntos datos con diferentes requisitos de confidencialidad o clasificación.

  • Utilizar permisos demasiado permisivos en las claves de descifrado.

  • Clasificar incorrectamente los datos.

  • No conservar copias de seguridad detalladas de los datos importantes.

  • Proporcionar acceso persistente a los datos de producción.

  • No auditar el acceso a los datos ni revisar periódicamente los permisos.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: bajo

Guía para la implementación

Hay muchos controles que pueden ayudar a proteger sus datos en reposo, como el control de acceso (con el privilegio mínimo), el aislamiento y el control de versiones. El acceso a sus datos debe auditarse mediante mecanismos de detección, como registros de nivel de servicio AWS CloudTrail, como los registros de acceso de Amazon Simple Storage Service (Amazon S3). Debe hacer un inventario de los datos a los que se puede acceder públicamente y crear un plan para reducir la cantidad de datos disponibles públicamente a lo largo del tiempo.

El bloqueo de almacenes de Amazon S3 Glacier y el bloqueo de objetos de Amazon S3 proporcionan un control de acceso obligatorio para los objetos de Amazon S3: una vez bloqueada una política de almacenes con la opción de conformidad, ni siquiera el usuario raíz puede cambiarla hasta que venza el bloqueo.

Pasos para la implementación

  • Aplicación del control de acceso: aplique el control de acceso con privilegios mínimos, incluido el acceso a las claves de cifrado.

  • Separación de los datos en función de diferentes niveles de clasificación: utilice diferentes Cuentas de AWS para los niveles de clasificación de los datos y administre dichas cuentas mediante AWS Organizations.

  • Políticas de revisión AWS Key Management Service (AWS KMS): revise el nivel de acceso otorgado en AWS KMS las políticas.

  • Revisión de los permisos de los objetos y buckets de Amazon S3: revise periódicamente el nivel de acceso otorgado por las políticas de buckets de S3. La práctica recomendada es evitar el uso de buckets de lectura o escritura pública. Considere la posibilidad de utilizarlos AWS Configpara detectar depósitos que están disponibles públicamente y Amazon CloudFront para servir contenido de Amazon S3. Verifique que los buckets que no deben permitir el acceso público estén configurados correctamente para impedirlo. De manera predeterminada, todos los buckets de S3 son privados y solo permiten el acceso a los usuarios que cuentan con una autorización explícita.

  • Utilice AWS IAMAccess Analyzer: IAM Access Analyzer analiza los buckets de Amazon S3 y genera un resultado cuando una política de S3 concede acceso a una entidad externa.

  • Uso del control de versiones de Amazon S3 y el bloqueo de objetos cuando corresponda.

  • Uso del inventario de Amazon S3: el inventario de Amazon S3 puede utilizarse para auditar e informar sobre el estado de replicación y cifrado de sus objetos de S3.

  • Revisa Amazon EBS y los permisos para AMIcompartir: los permisos para compartir pueden permitir compartir imágenes y volúmenes con personas Cuentas de AWS ajenas a tu carga de trabajo.

  • Revisión periódica de los recursos compartidos de AWS Resource Access Manager para determinar si los recursos deben seguir compartiéndose. Resource Access Manager le permite compartir recursos, como las políticas de AWS Network Firewall, las reglas de resolución de Amazon Route 53 y las subredes, dentro de su AmazonVPCs. Audite periódicamente los recursos compartidos y deje de compartir los recursos que ya no sea necesario.

Recursos

Prácticas recomendadas relacionadas:

Documentos relacionados:

Videos relacionados: