Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
SEC02-BP05 Contrôler et effectuer régulièrement une rotation des informations d’identification
Contrôlez et effectuez régulièrement une rotation des informations d’identification afin de limiter leur durée d’utilisation pour accéder à vos ressources. Les informations d’identification à long terme créent de nombreux risques, et ces risques peuvent être réduits par une rotation régulière de ces informations.
Résultat escompté : mettre en œuvre la rotation des informations d’identification afin de réduire les risques associés à l’utilisation à long terme des informations d’identification. Auditez et corrigez régulièrement toute non-conformité avec les politiques de rotation des informations d’identification.
Anti-modèles courants :
-
Ne pas auditer l’utilisation des informations d’identification.
-
Utiliser inutilement des informations d’identification à long terme.
-
Utiliser des informations d’identification à long terme et ne pas effectuer de rotation régulièrement.
Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé
Directives d’implémentation
Lorsque vous ne pouvez pas compter sur des informations d’identification temporaires et que vous avez besoin d’informations d’identification à long terme, auditez les informations d’identification pour vous assurer que les contrôles définis tels que l’authentification multifactorielle
La validation régulière, de préférence via un outil automatisé, est nécessaire pour vérifier que les contrôles corrects sont appliqués. Pour les identités humaines, vous devez obliger les utilisateurs à modifier leurs mots de passe régulièrement et à mettre hors service les clés d’accès au profit d’informations d’identification temporaires. Lorsque vous passez des AWS Identity and Access Management utilisateurs (IAM) aux identités centralisées, vous pouvez générer un rapport d’informations d’identification pour auditer vos utilisateurs.
Nous vous recommandons également d’appliquer les paramètres d’authentification multifactorielle dans votre fournisseur d’identité. Vous pouvez configurer AWS Config Rules, ou utiliser des normes de sécurité AWS Security Hub pour vérifier si les utilisateurs ont configuré l’authentification multifactorielle (MFA). Envisagez d’utiliser Rôles Anywhere IAM afin de fournir des informations d’identification temporaires pour les identités des machines. Lorsque l’utilisation de rôles IAM et d’informations d’identification temporaires n’est pas possible, il est nécessaire de réaliser fréquemment des audits et la rotation des clés d’accès.
Étapes d’implémentation
-
Auditer fréquemment des informations d’identification : l’audit des identités configurées dans votre fournisseur d’identités et dans IAM aide à garantir que seules les identités autorisées ont accès à votre charge de travail. Ces identités peuvent inclure, sans s’y limiter, des utilisateurs IAM, des utilisateurs AWS IAM Identity Center, des utilisateurs Active Directory ou des utilisateurs dans un autre fournisseur d’identité en amont. Par exemple, supprimez les personnes qui quittent l’organisation et supprimez les rôles intercomptes qui ne sont plus requis. Mettez en place un processus pour auditer périodiquement les autorisations aux services auxquels accède une entité IAM. Cela vous permet d’identifier les politiques à modifier afin de supprimer les autorisations inutilisées. Utilisez les rapports d’informations d’identification et AWS Identity and Access Management Access Analyzer pour auditer les informations d’identification et les autorisations IAM. Vous pouvez utiliser Amazon CloudWatch pour configurer des alarmes pour des appels d’API spécifiques appelés dans votre environnement AWS. Amazon GuardDuty peut également vous avertir en cas d’activité inattendue, qui peut indiquer un accès trop permissif ou un accès involontaire aux informations d’identification IAM.
-
Effectuer la rotation régulière des informations d’identification : lorsque vous ne pouvez pas utiliser d’informations d’identification temporaires, alternez régulièrement les clés d’accès IAM à long terme (maximum tous les 90 jours). Si une clé d’accès est divulguée involontairement à votre insu, cela limite la durée pendant laquelle les informations d’identification peuvent être utilisées pour accéder à vos ressources. Pour plus d’informations sur la rotation des clés d’accès pour les utilisateurs IAM, consultez la rubrique Rotation des clés d’accès.
-
Examinez les autorisations IAM : pour améliorer la sécurité de votre Compte AWS, examinez et surveillez régulièrement chacune de vos politiques IAM. Vérifiez que les politiques respectent le principe du moindre privilège.
-
Envisagez d’automatiser la création et la mise à jour des ressources IAM : IAM Identity Center automatise de nombreuses tâches IAM, telles que la gestion des rôles et des politiques. Sinon, AWS CloudFormation peut être utilisé afin d’automatiser le déploiement des ressources IAM, y compris les rôles et les politiques, afin de réduire le risque d’erreur humaine, car les modèles peuvent être vérifiés et la version contrôlée.
-
Utilisez Rôles Anywhere IAM pour remplacer les utilisateurs IAM par des identités de machines : Rôles Anywhere IAM vous permet d’utiliser des rôles dans des domaines que vous ne pouviez pas utiliser auparavant, tels que les serveurs sur site. Rôles Anywhere IAM utilise un certificat X.509 approuvé afin de s’authentifier auprès d’AWS et de recevoir des informations d’identification temporaires. L’utilisation de Rôles Anywhere IAM vous évite d’avoir à effectuer des rotations de ces informations d’identification, car les informations d’identification à long terme ne sont plus stockées dans votre environnement sur site. Veuillez noter que vous devrez surveiller et faire tourner le certificat X.509 à l’approche de son expiration.
Ressources
Bonnes pratiques associées :
Documents connexes :
Vidéos connexes :
Exemples connexes :
