SEC01-BP02 Sécuriser l’utilisateur racine et les propriétés du compte - Pilier Sécurité
Directives d’implémentationRessources

SEC01-BP02 Sécuriser l’utilisateur racine et les propriétés du compte

L’utilisateur racine est celui qui dispose du plus de privilèges dans un Compte AWS, avec un accès administratif complet à toutes les ressources du compte. De plus, dans certains cas, il ne peut pas être limité par les politiques de sécurité. Si vous désactivez l’accès par programmation pour l’utilisateur racine, établissez des contrôles appropriés pour l’utilisateur racine et évitez l’utilisation de routine de l’utilisateur racine, vous réduirez le risque d’exposition accidentelle des informations d’identification racine et de compromission ultérieure de l’environnement cloud.

Résultat escompté : la sécurisation de l’utilisateur racine permet de réduire les risques de dommages accidentels ou intentionnels dus à une mauvaise utilisation des informations d’identification de l’utilisateur racine. La mise en place de contrôles de détection permet également d’alerter le personnel approprié lorsque des mesures sont prises à l’aide de l’utilisateur racine.

Anti-modèles courants :

  • Se servir de l’utilisateur racine pour des tâches autres que celles nécessitant des informations d’identification de l’utilisateur racine. 

  • Omettre de tester régulièrement des plans d’urgence pour vérifier le fonctionnement de l’infrastructure, des processus et du personnel essentiels dans les situations d’urgence.

  • Ne tenir compte que du flux de connexion type du compte et omettre d’envisager ou de tester d’autres méthodes de récupération de compte.

  • Ne pas gérer les DNS, les serveurs de messagerie et les fournisseurs de services téléphoniques dans le cadre du périmètre de sécurité critique, car ils sont utilisés dans le flux de récupération de compte.

Avantages du respect de cette bonne pratique : la sécurisation de l’accès à l’utilisateur racine permet de s’assurer que les actions de votre compte sont contrôlées et auditées.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

AWS propose plusieurs outils afin de vous aider à sécuriser votre compte. Toutefois, étant donné que certaines de ces mesures ne sont pas activées par défaut, vous devez intervenir directement pour les implémenter. Considérez ces recommandations comme des étapes fondamentales pour sécuriser votre Compte AWS. À mesure que vous mettez en œuvre ces étapes, il est important d’établir un processus permettant d’évaluer et de surveiller continuellement les contrôles de sécurité.

Lorsque vous créez un Compte AWS, vous commencez avec une seule identité disposant d’un accès complet à toutes les ressources et à tous les services AWS de ce compte. Cette identité est appelée l’utilisateur racine du Compte AWS. Vous pouvez vous connecter en tant qu’utilisateur racine avec l’adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. En raison de l’accès élevé accordé à l’utilisateur racine AWS, vous devez limiter l’utilisation de l’utilisateur racine AWS aux seules tâches qui l’exigent spécifiquement. Les informations d’identification de l’utilisateur racine doivent être étroitement protégées et l’authentification multifactorielle (MFA) doit toujours être activée pour l’utilisateur racine du Compte AWS.

Outre le flux d’authentification normal pour vous connecter à votre utilisateur racine en utilisant un nom d’utilisateur, un mot de passe et un dispositif d’authentification multifactorielle (MFA), il y a des flux de récupération de compte pour vous connecter à l’utilisateur racine de votre Compte AWS, à condition de disposer d’un accès à l’adresse e-mail et au numéro de téléphone associés à votre compte. Par conséquent, il est tout aussi important de sécuriser le compte de messagerie de l’utilisateur racine là où l’e-mail de récupération est envoyé, ainsi que le numéro de téléphone associé au compte. Il est également nécessaire de tenir compte des dépendances circulaires possibles lorsque l’adresse e-mail associée à l’utilisateur racine est hébergée sur des serveurs de messagerie ou des ressources du service de noms de domaine (DNS) à partir du même Compte AWS.

Lorsque vous utilisez AWS Organizations, il y a plusieurs Comptes AWS, chacun d’entre eux ayant un utilisateur racine. Un compte est désigné comme compte de gestion et plusieurs couches de comptes membres peuvent alors être ajoutées sous le compte de gestion. Privilégiez la sécurisation de l’utilisateur racine de votre compte de gestion, puis occupez-vous des utilisateurs racine des comptes membres. La stratégie de sécurisation de l’utilisateur racine de votre compte de gestion peut différer de celle des utilisateurs racine des comptes membres et vous pouvez placer des contrôles de sécurité préventifs sur les utilisateurs racine des comptes membres.

Étapes d’implémentation

Les étapes d’implémentation suivantes sont recommandées afin d’établir des contrôles pour l’utilisateur racine. Le cas échéant, les recommandations sont recoupées avec la version de référence 1.4.0 de CIS AWS Foundations. Outre ces étapes, consultez les directives relatives aux bonnes pratiques AWS pour sécuriser votre Compte AWS et vos ressources.

Contrôles préventifs

  1. Configurez des informations de contact précises pour le compte.

    1. Ces informations sont utilisées pour le flux de récupération de mot de passe perdu, le flux de récupération de compte d’authentification multifactorielle perdu et pour les communications critiques liées à la sécurité avec votre équipe.

    2. Utilisez une adresse e-mail hébergée par votre domaine d’entreprise, de préférence une liste de distribution, comme adresse e-mail de l’utilisateur racine. L’utilisation d’une liste de distribution plutôt que d’un compte de messagerie individuel fournit une redondance et une continuité supplémentaires pour l’accès au compte racine sur de longues périodes.

    3. Le numéro de téléphone indiqué pour les coordonnées doit correspondre à un téléphone dédié et sécurisé à cette fin. Ce numéro de téléphone ne doit figurer sur aucune liste ni être communiqué à personne.

  2. Ne créez pas de clés d’accès pour l’utilisateur racine. Si des clés d’accès existent, retirez-les (CIS 1.4).

    1. Éliminez les informations d’identification par programmation de longue durée (clés d’accès et secrètes) pour l’utilisateur racine.

    2. Si des clés d’accès de l’utilisateur racine existent déjà, vous devez transférer les processus utilisant ces clés pour utiliser les clés d’accès temporaires d’un rôle AWS Identity and Access Management (IAM), puis supprimer les clés d’accès de l’utilisateur racine.

  3. Déterminez si vous devez stocker les informations d’identification de l’utilisateur racine.

    1. Si vous utilisez AWS Organizations pour créer de nouveaux comptes membres, le mot de passe initial pour l’utilisateur racine sur ces nouveaux comptes est une valeur aléatoire à laquelle vous n’avez pas accès. Envisagez d’utiliser le flux de réinitialisation du mot de passe de votre compte de gestion AWS Organization pour obtenir l’accès au compte membre si nécessaire.

    2. Pour les Comptes AWS autonomes ou le compte de gestion AWS Organization, envisagez de créer et de stocker en toute sécurité les informations d’identification de l’utilisateur racine. Utilisez l’authentification multifactorielle pour l’utilisateur racine.

  4. Utilisez les contrôles préventifs pour les utilisateurs racine des comptes membres dans les environnements AWS multicomptes.

    1. Envisagez d’utiliser la barrière de sécurité préventive Interdire la création de clés d’accès racine pour l’utilisateur racine pour les comptes des membres.

    2. Envisagez d’utiliser la barrière de sécurité préventive Désactiver les actions en tant qu’utilisateur racine pour les comptes des membres.

  5. Si vous avez besoin d’informations d’identification pour l’utilisateur racine :

    1. Utilisez un mot de passe complexe.

    2. Activez l’authentification multifactorielle (MFA) pour l’utilisateur racine, plus particulièrement pour les comptes de gestion (payeur) AWS Organizations (CIS 1.5).

    3. Envisagez l’utilisation des appareils d’authentification multifactorielle pour la résilience et la sécurité, car les appareils à usage unique peuvent réduire les risques de réutilisation des appareils contenant vos codes d’authentification multifactorielle à d’autres fins. Vérifiez que les appareils d’authentification multifactorielle alimentés par une batterie sont remplacés régulièrement. (CIS 1.6)

    4. Envisagez d’inscrire plusieurs appareils d’authentification multifactorielle à des fins de sauvegarde. Jusqu’à 8 appareils d’authentification multifactorielle sont autorisés par compte.

    5. Stockez le mot de passe en sécurité et tenez compte des dépendances circulaires si vous le stockez électroniquement. Ne stockez pas le mot de passe de manière à ce qu’il nécessite un accès au même Compte AWS pour l’obtenir.

  6. Facultatif : envisagez d’établir un calendrier périodique de rotation des mots de passe pour l’utilisateur racine.

    • Les bonnes pratiques relatives à la gestion des informations d’identification dépendent de vos exigences en matière de réglementation et de politiques. Les utilisateurs racine protégés par l’authentification multifactorielle ne dépendent pas du mot de passe comme facteur d’authentification unique.

    • La modification périodique du mot de passe de l’utilisateur racine réduit le risque d’utilisation abusive d’un mot de passe exposé par inadvertance.

Contrôles de détection

Conseils opérationnels

  • Déterminez qui, au sein de l’organisation, doit avoir accès aux informations d’identification de l’utilisateur racine.

    • Utilisez la règle des deux personnes pour éviter qu’une seule personne ait accès à toutes les informations d’identification et à l’authentification multifactorielle nécessaires pour obtenir l’accès à l’utilisateur racine.

    • Vérifiez que l’organisation, et non une seule personne, conserve le contrôle du numéro de téléphone et de l’alias d’e-mail associés au compte (qui sont utilisés pour la réinitialisation du mot de passe et l’authentification multifactorielle).

  • Utilisez l’utilisateur racine uniquement de façon exceptionnelle (CIS 1.7).

    • L’utilisateur racine AWS ne doit pas être employé pour des tâches quotidiennes, même les tâches d’administration. Connectez-vous uniquement en tant qu’utilisateur racine pour effectuer des tâches AWS nécessitant un utilisateur racine. Toutes les autres actions doivent être effectuées par d’autres utilisateurs assumant les rôles appropriés.

  • Vérifiez régulièrement que l’accès à l’utilisateur racine fonctionne afin que les procédures soient testées avant une situation d’urgence nécessitant l’utilisation des informations d’identification de l’utilisateur racine.

  • Vérifiez régulièrement que l’adresse e-mail associée au compte et celles répertoriées sous Contacts alternatifs fonctionnent. Vérifiez dans ces boîtes de réception si vous avez reçu des notifications de sécurité de la part de . Assurez-vous également que les numéros de téléphone associés au compte fonctionnent.

  • Préparez les procédures d’intervention en cas d’incident pour réagir face à une utilisation inappropriée du compte racine. Consultez le guide de réponse aux incidents de sécurité AWS et les bonnes pratiques décrites dans la section Réponse aux incidents du livre blanc sur le pilier Sécurité pour plus d’informations sur l’élaboration d’une stratégie de réponse aux incidents adaptée à votre Compte AWS.

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :

Exemples et ateliers connexes :