Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques en matière de sécurité dans AWS CloudTrail
AWS CloudTrail fournit un certain nombre de fonctionnalités de sécurité à prendre en compte lors de l'élaboration et de la mise en œuvre de vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.
Rubriques
CloudTrail meilleures pratiques en matière de sécurité des détectives
Créer un journal de suivi
Pour que les événements de votre AWS compte soient enregistrés de manière continue, vous devez créer un parcours. Bien qu'il CloudTrail fournisse 90 jours d'informations sur l'historique des événements pour la gestion des événements dans la CloudTrail console sans créer de trace, il ne s'agit pas d'un enregistrement permanent et ne fournit pas d'informations sur tous les types d'événements possibles. Pour un registre permanent, et pour un registre contenant tous les types d'événements que vous spécifiez, il convient de créer un journal d'activité, qui transmet des fichiers journaux à un compartiment Amazon S3 que vous spécifiez.
Pour faciliter la gestion de vos CloudTrail données, envisagez de créer un suivi qui enregistre tous les événements de gestion Régions AWS, puis de créer des journaux supplémentaires qui enregistrent des types d'événements spécifiques pour les ressources, tels que l'activité ou les AWS Lambda fonctions du compartiment Amazon S3.
Voici quelques-unes des étapes que vous pouvez suivre:
Appliquez les sentiers à tous Régions AWS
Pour obtenir un enregistrement complet des événements enregistrés par une IAM identité ou un service de votre AWS compte, chaque trace doit être configurée de manière à consigner tous les événements Régions AWS. En enregistrant tous les événements Régions AWS, vous vous assurez que tous les événements qui se produisent sur votre AWS compte sont enregistrés, quelle que soit la AWS région où ils se sont produits. Cela inclut la journalisation des événements de service mondiaux, qui sont enregistrés AWS dans une région spécifique à ce service. Lorsque vous créez un journal qui s'applique à toutes les régions, que vous CloudTrail enregistrez les événements dans chaque région et que vous CloudTrail transmettez les fichiers journaux d'événements à un compartiment S3 que vous spécifiez. Si une Région AWS est ajoutée après la création d'un journal de suivi qui s'applique à toutes les régions, cette nouvelle région est automatiquement incluse, et les événements de cette région sont journalisés. Il s'agit de l'option par défaut lorsque vous créez un parcours dans la CloudTrail console.
Voici quelques-unes des étapes que vous pouvez suivre:
-
Mettre à jour un journal d'activité existant afin d’enregistrer les événements du journal dans toutes les Régions AWS.
-
Mettez en œuvre des contrôles de détection continus pour vous assurer que tous les sentiers créés enregistrent tous les événements en Régions AWS utilisant la règle multi-region-cloud-trailactivée. AWS Config
Activer l'intégrité des fichiers CloudTrail journaux
Les fichiers journaux validés s'avèrent utiles lors d'enquêtes judiciaires et liées à la sécurité. Par exemple, un fichier journal validé vous permet d'affirmer avec certitude que le fichier journal lui-même n'a pas changé ou que des informations d'IAMidentification spécifiques ont effectué une API activité spécifique. Le processus de validation de l'intégrité des fichiers CloudTrail journaux vous permet également de savoir si un fichier journal a été supprimé ou modifié, ou de confirmer qu'aucun fichier journal n'a été envoyé à votre compte pendant une période donnée. CloudTrail la validation de l'intégrité des fichiers journaux utilise des algorithmes conformes aux normes du secteur : SHA -256 pour le hachage et SHA -256 RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. Pour de plus amples informations, veuillez consulter Activer la validation et les fichiers de validation.
Intégrer à Amazon CloudWatch Logs
CloudWatch Les journaux vous permettent de surveiller et de recevoir des alertes pour des événements spécifiques capturés par CloudTrail. Les événements envoyés à CloudWatch Logs sont ceux configurés pour être enregistrés par votre parcours. Assurez-vous donc d'avoir configuré votre ou vos sentiers pour enregistrer les types d'événements (événements de gestion, événements de données et/ou événements d'activité réseau (en version préliminaire)) que vous souhaitez surveiller.
Par exemple, vous pouvez surveiller les principaux événements liés à la sécurité et à la gestion du réseau, tels que les échecs de AWS Management Console connexion.
Voici quelques-unes des étapes que vous pouvez suivre:
-
Consultez les exemples CloudWatchd'intégrations de journaux pour CloudTrail.
-
Configurez votre parcours pour envoyer des événements à CloudWatch Logs.
-
Envisagez de mettre en œuvre des contrôles de détection continus pour vous assurer que tous les sentiers envoient des événements à CloudWatch Logs à des fins de surveillance en utilisant la cloud-trail-cloud-watchrègle -logs-enabled. AWS Config
Utilisez Amazon GuardDuty
Amazon GuardDuty est un service de détection des menaces qui vous aide à protéger vos comptes, vos conteneurs, vos charges de travail et les données de votre AWS environnement. En utilisant des modèles d'apprentissage automatique (ML) et des fonctionnalités de détection des anomalies et des menaces, vous surveillez GuardDuty en permanence différentes sources de journaux afin d'identifier et de hiérarchiser les risques de sécurité potentiels et les activités malveillantes dans votre environnement.
Par exemple, GuardDuty détectera une éventuelle exfiltration d'informations d'identification au cas où il détecterait des informations d'identification créées exclusivement pour une EC2 instance Amazon via un rôle de lancement d'instance mais qui sont utilisées à partir d'un autre compte interne. AWS Pour plus d'informations, consultez le guide de GuardDuty l'utilisateur Amazon.
Utilisez AWS Security Hub
Surveillez votre utilisation CloudTrail en ce qui concerne les meilleures pratiques de sécurité en utilisant AWS Security Hub. Security Hub utilise des contrôles de sécurité de détection pour évaluer les configurations des ressources et les normes de sécurité afin de vous aider à vous conformer à divers cadres de conformité. Pour plus d'informations sur l'utilisation de Security Hub pour évaluer les CloudTrail ressources, consultez la section AWS CloudTrail Contrôles du Guide de AWS Security Hub l'utilisateur.
CloudTrail meilleures pratiques en matière de sécurité préventive
Les meilleures pratiques suivantes CloudTrail peuvent vous aider à prévenir les incidents de sécurité.
Se connecter à un compartiment Amazon S3 dédié et centralisé
CloudTrail les fichiers journaux sont un journal d'audit des actions entreprises par une IAM identité ou un AWS service. L'exhaustivité, l'intégrité et la disponibilité de ces journaux est essentielle à des fins juridiques et d'audit. En vous connectant à un compartiment Amazon S3 dédié et centralisé, il est possible d'appliquer des contrôles de sécurité stricts, l'accès, et la séparation des tâches.
Voici quelques-unes des étapes que vous pouvez suivre:
-
Créez un AWS compte distinct en tant que compte d'archivage des journaux. Si vous l'utilisez AWS Organizations, inscrivez ce compte dans l'organisation et envisagez de créer un journal d'organisation pour enregistrer les données de tous les AWS comptes de votre organisation.
-
Si vous n'utilisez pas Organizations mais que vous souhaitez enregistrer les données de plusieurs AWS comptes, créez une trace pour enregistrer l'activité dans ce compte d'archive de journaux. Restreignez l'accès à ce compte uniquement aux utilisateurs administratifs de confiance qui doivent avoir accès au compte et aux données d'audit.
-
Dans le cadre de la création d'un suivi, qu'il s'agisse d'un suivi organisationnel ou d'un suivi pour un seul AWS compte, créez un compartiment Amazon S3 dédié pour stocker les fichiers journaux de ce suivi.
-
Si vous souhaitez enregistrer l'activité de plusieurs AWS comptes, modifiez la politique de compartiment pour autoriser la journalisation et le stockage de fichiers journaux pour tous les AWS comptes sur lesquels vous souhaitez enregistrer l'activité du AWS compte.
-
Si vous n'utilisez pas de journal d'activité d'une organisation, créez des journaux d'activité dans l'ensemble de vos comptes AWS , en spécifiant le compartiment Amazon S3 dans le compte du journal d'archivage.
Utiliser le chiffrement côté serveur avec des clés gérées AWS KMS
Par défaut, les fichiers journaux fournis par votre compartiment S3 sont chiffrés CloudTrail à l'aide d'un chiffrement côté serveur avec une KMS clé (SSE-KMS). Pour utiliser SSE - KMS with CloudTrail, vous créez et gérez une clé AWS KMS key, également connue sous le nom de KMS clé.
Note
Si vous utilisez SSE la validation des fichiers journaux KMS et que vous avez modifié votre politique de compartiment Amazon S3 pour autoriser SSE uniquement les fichiers KMS chiffrés, vous ne pourrez pas créer de traces utilisant ce compartiment, sauf si vous modifiez votre politique de compartiment pour autoriser spécifiquement le AES256 chiffrement, comme illustré dans l'exemple de ligne de politique suivant.
"StringNotEquals": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] }
Voici quelques-unes des étapes que vous pouvez suivre:
-
Découvrez les avantages du chiffrement de vos fichiers journaux avec SSE - KMS.
-
Créez une KMS clé à utiliser pour chiffrer les fichiers journaux.
-
Configurer le chiffrement des fichiers journaux pour vos journaux de suivi.
-
Envisagez de mettre en œuvre des contrôles de détection continus pour vous assurer que tous les sentiers chiffrent les fichiers journaux avec SSE - en KMS utilisant la cloud-trail-encryption-enabledrègle dans AWS Config.
Ajouter une clé de condition à la politique SNS thématique par défaut d'Amazon
Lorsque vous configurez un parcours pour envoyer des notifications à AmazonSNS, vous CloudTrail ajoutez une déclaration de politique à votre politique d'accès aux SNS rubriques qui permet CloudTrail d'envoyer du contenu à une SNS rubrique. Pour des raisons de sécurité, nous vous recommandons d'ajouter une clé de condition aws:SourceArn (ou facultativementaws:SourceAccount) à la déclaration de politique SNS thématique d'Amazon. Cela permet d'empêcher l'accès non autorisé de votre compte à votre SNS sujet. Pour de plus amples informations, veuillez consulter Politique SNS thématique d'Amazon pour CloudTrail.
Mettre en œuvre l'accès au moindre privilège pour les compartiments Amazon S3 de stockage des fichiers journaux
CloudTrail les trails enregistrent les événements dans un compartiment Amazon S3 que vous spécifiez. Ces fichiers journaux contiennent un journal d'audit des actions entreprises par les IAM identités et les AWS services. L'intégrité et l'exhaustivité de ces fichiers journaux sont cruciales à des fins d'audit et judiciaires. Afin de garantir cette intégrité, vous devez respecter le principe du moindre privilège lors de la création ou de la modification de l'accès à tout compartiment Amazon S3 utilisé pour le stockage des fichiers CloudTrail journaux.
Suivez les étapes suivantes:
-
Examinez la politique du compartiment Amazon S3 pour tous les compartiments où vous stockez des fichiers journaux et ajustez-le au besoin pour supprimer tout accès inutile. Cette politique de compartiment sera générée pour vous si vous créez un journal à l'aide de la CloudTrail console, mais elle peut également être créée et gérée manuellement.
-
En tant que bonne pratique en matière de sécurité, veillez à ajouter manuellement une clé de condition
aws:SourceArnde la politique de compartiment. Pour de plus amples informations, veuillez consulter Politique relative aux compartiments Amazon S3 pour CloudTrail. -
Si vous utilisez le même compartiment Amazon S3 pour stocker les fichiers journaux de plusieurs AWS comptes, suivez les instructions relatives à la réception de fichiers journaux pour plusieurs comptes.
-
Si vous utilisez le journal d'activité d'une organisation, assurez-vous de suivre les consignes pour les journaux d'activité de l'organisation, et d'examiner l'exemple de politique pour un compartiment Amazon S3 pour un journal d'activité d'une organisation dans Création d'un parcours pour une organisation à l'aide du AWS CLI.
-
Consultez la documentation de sécurité Amazon S3 et l'exemple de démonstration relative à la sécurisation d'un compartiment.
Activez la MFA suppression dans le compartiment Amazon S3 dans lequel vous stockez les fichiers journaux
Lorsque vous configurez l'authentification multifactorielle (MFA), les tentatives de modification de l'état de version d'un bucket ou de suppression d'une version d'objet dans un bucket nécessitent une authentification supplémentaire. Ainsi, même si un utilisateur obtient le mot de passe d'un IAM utilisateur autorisé à supprimer définitivement des objets Amazon S3, vous pouvez toujours empêcher les opérations susceptibles de compromettre vos fichiers journaux.
Voici quelques-unes des étapes que vous pouvez suivre:
-
Consultez les instructions de MFAsuppression dans le guide de l'utilisateur d'Amazon Simple Storage Service.
-
Ajoutez une politique de compartiment Amazon S3 à exiger MFA.
Note
Vous ne pouvez pas utiliser la MFA suppression avec des configurations de cycle de vie. Pour en savoir plus sur les configurations de cycle de vie et sur leur interaction avec d'autres configurations, veuillez consulter Cycle de vie et autres configurations de compartiment dans le Guide de l'utilisateur d'Amazon Simple Storage Service.
Configurez le système de gestion du cycle de vie des objets dans le compartiment Amazon S3, qui est le lieu pour stocker des fichiers journaux
Par CloudTrail défaut, les fichiers journaux sont stockés indéfiniment dans le compartiment Amazon S3 configuré pour le suivi. Vous pouvez utiliser les règles de gestion du cycle de vie des objets Amazon S3 pour définir votre propre politique de conservation pour mieux répondre aux besoins de votre entreprise et des audits. Par exemple, vous pouvez vouloir archiver les fichiers journaux vieux de plus d'un an dans Amazon Glacier, ou supprimer des fichiers journaux après l'écoulement d'un certain délai.
Note
La configuration du cycle de vie sur les compartiments compatibles avec l'authentification MFA multifactorielle () n'est pas prise en charge.
Limiter l'accès à la AWSCloudTrail_FullAccess politique
Les utilisateurs dotés de la FullAccess politique AWSCloudTrail_ ont la possibilité de désactiver ou de reconfigurer les fonctions d'audit les plus sensibles et les plus importantes de leurs AWS comptes. Cette politique n'est pas destinée à être partagée ou appliquée de manière générale aux IAM identités de votre AWS compte. Limitez l'application de cette politique au moins de personnes possible, celles que vous attendez d'agir en tant qu'administrateurs de AWS compte.
