SEC02-BP05 Melakukan audit dan rotasi kredensial secara berkala

Lakukan audit dan rotasi kredensial secara rutin membatasi seberapa lama kredensial dapat digunakan untuk mengakses sumber daya Anda. Kredensial jangka panjang dapat menimbulkan banyak risiko, tetapi risiko-risiko ini dapat dikurangi dengan secara rutin melakukan rotasi terhadap kredensial jangka panjang.

Hasil yang diinginkan: Mengimplementasikan rotasi kredensial untuk membantu Anda mengurangi risiko yang terkait dengan penggunaan kredensial jangka panjang. Melakukan audit dan perbaikan secara rutin untuk penggunaan yang tidak mematuhi kebijakan-kebijakan rotasi kredensial.

Anti-pola umum:

Tidak melakukan audit penggunaan kredensial.
Menggunakan kredensial jangka panjang saat tidak diperlukan.
Menggunakan kredensial jangka panjang dan tidak melakukan rotasi kredensial secara rutin.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi

Panduan implementasi

Jika Anda tidak dapat menggunakan kredensial sementara dan memerlukan kredensial jangka panjang, lakukan audit kredensial untuk memastikan bahwa kontrol yang ditentukan, misalnya autentikasi multi-faktor (MFA), telah diterapkan, dirotasi secara rutin, dan memiliki tingkat akses yang sesuai.

Validasi berkala, sebaiknya menggunakan sebuah alat otomatis, diperlukan untuk memverifikasi bahwa kontrol yang tepat sudah diberlakukan. Untuk identitas manusia, Anda harus mewajibkan pengguna untuk mengubah kata sandi mereka secara rutin dan memensiunkan kunci akses yang ditukar dengan kredensial sementara. Saat Anda berpindah dari pengguna (IAM) AWS Identity and Access Management ke identitas tersentralisasi, Anda dapat membuat laporan kredensial untuk mengaudit pengguna Anda.

Anda juga sebaiknya menerapkan dan memantau MFA dalam penyedia identitas Anda. Anda dapat mengatur Aturan AWS Config, atau menggunakan Standar Keamanan AWS Security Hub, untuk memantau apakah para pengguna telah mengonfigurasi MFA atau tidak. Pertimbangkan untuk menggunakan IAM Roles Anywhere guna memberikan kredensial sementara untuk identitas mesin. Dalam situasi yang tidak memungkinkan penggunaan peran IAM dan kredensial sementara, pengauditan dan rotasi kunci akses perlu sering dilakukan.

Langkah-langkah implementasi

Melakukan audit kredensial secara rutin: Melakukan audit terhadap identitas yang dikonfigurasi di penyedia identitas Anda dan IAM akan membantu Anda memverifikasi bahwa hanya identitas yang diotorisasi yang memiliki akses ke beban kerja Anda. Identitas tersebut mencakup, tetapi tidak terbatas pada, pengguna IAM, pengguna Pusat Identitas AWS IAM, pengguna Active Directory, atau pengguna dalam penyedia identitas hulu yang berbeda. Misalnya, hapus orang-orang yang keluar dari organisasi, dan hapus pula peran lintas akun yang tidak lagi diperlukan. Sediakan sebuah proses yang dilakukan untuk mengaudit izin ke layanan yang diakses oleh entitas IAM secara berkala. Tindakan ini akan membantu Anda mengidentifikasi kebijakan-kebijakan yang perlu diubah untuk menghapus izin-izin yang tidak digunakan. Gunakan laporan kredensial dan AWS Identity and Access Management Access Analyzer untuk melakukan audit kredensial dan izin IAM. Anda dapat menggunakan Amazon CloudWatch untuk menyiapkan alarm untuk panggilan API tertentu yang dipanggil dalam lingkungan AWS Anda. Amazon GuardDuty juga dapat memperingatkan Anda tentang adanya aktivitas tak terduga, yang mungkin menunjukkan akses yang terlalu permisif atau akses yang tidak diinginkan ke kredensial IAM.
Rotasi kredensial secara rutin: Ketika Anda tidak dapat menggunakan kredensial sementara, lakukan rotasi terhadap kunci akses IAM jangka panjang secara teratur (maksimum setiap 90 hari). Tindakan ini akan membatasi waktu penggunaan kredensial untuk mengakses sumber daya Anda jika ada kunci akses yang bocor tanpa sepengetahuan Anda. Untuk informasi selengkapnya tentang cara melakukan rotasi terhadap kunci akses untuk pengguna IAM, lihat Merotasi kunci akses.
Tinjau Izin IAM: Untuk meningkatkan keamanan Akun AWS Anda, lakukan peninjauan dan pemantauan secara rutin terhadap setiap kebijakan IAM Anda. Pastikan bahwa kebijakan tersebut memenuhi prinsip hak akses paling rendah.
Pertimbangkan untuk mengotomatiskan pembuatan dan pembaruan sumber daya IAM: Pusat Identitas IAM melakukan otomatisasi terhadap banyak tugas IAM, seperti pengelolaan peran dan kebijakan. Atau, AWS CloudFormation dapat digunakan untuk mengotomatiskan deployment sumber daya IAM, termasuk kebijakan dan peran, untuk mengurangi kemungkinan kesalahan akibat kelalaian manusia karena templat dapat diverifikasi serta dikelola dengan kendali versi.
Gunakan IAM Roles Anywhere untuk mengganti pengguna IAM untuk identitas mesin: IAM Roles Anywhere dapat memungkinkan Anda menggunakan peran di area-area yang biasanya tidak dapat Anda lakukan, seperti server on-premise. IAM Roles Anywhere menggunakan sertifikat X.509 tepercaya untuk mengautentikasi ke AWS serta menerima kredensial sementara. Dengan IAM Roles Anywhere, Anda tidak perlu merotasi kredensial ini karena kredensial jangka panjang tidak lagi disimpan dalam lingkungan on-premise Anda. Perlu diketahui bahwa Anda harus memantau dan merotasi sertifikat X.509 sebelum memasuki masa kedaluwarsa.

Sumber daya

Praktik-praktik terbaik terkait:

Dokumen terkait:

Video terkait:

Contoh terkait:

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

SEC02-BP04 Mengandalkan penyedia identitas tersentralisasi

SEC02-BP06 Manfaatkan grup dan atribut pengguna