SEC01-BP02 Mengamankan properti dan pengguna root akun
Pengguna root adalah pengguna yang memiliki hak istimewa paling banyak dalam sebuah Akun AWS, dengan akses administratif penuh ke semua sumber daya di dalam akun, dan dalam beberapa kasus tidak dapat dibatasi oleh kebijakan keamanan. Melakukan deaktivasi akses terprogram ke pengguna root, menerapkan kontrol yang sesuai untuk pengguna root, serta tidak menggunakan pengguna root secara rutin membantu mengurangi risiko tersebarnya kredensial root secara tidak sengaja dan penyusupan di lingkungan cloud.
Hasil yang diinginkan: Mengamankan pengguna root membantu mengurangi kemungkinan kerusakan yang tidak disengaja atau disengaja dapat terjadi melalui penyalahgunaan kredensial pengguna root. Menerapkan kontrol-kontrol detektif juga dapat memberikan peringatan kepada personel yang tepat saat ada tindakan dilakukan menggunakan pengguna root.
Anti-pola umum:
-
Menggunakan pengguna root untuk tugas selain yang memerlukan kredensial pengguna root.
-
Tidak melakukan pengujian terhadap rencana-rencana darurat secara rutin untuk memverifikasi fungsi infrastruktur, proses, dan personel penting dalam keadaan darurat.
-
Hanya mempertimbangkan alur masuk akun biasa dan tidak mempertimbangkan atau menguji metode pemulihan akun lainnya.
-
Tidak menangani hal-hal yang digunakan dalam alur pemulihan akun seperti DNS, server email, dan penyedia telepon sebagai bagian dari perimeter keamanan penting.
Manfaat menjalankan praktik terbaik ini: Mengamankan akses ke pengguna root akan membangun keyakinan bahwa tindakan-tindakan yang dilakukan di akun Anda sudah dikontrol dan diaudit.
Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi
Panduan implementasi
AWS menawarkan banyak alat untuk membantu mengamankan akun Anda. Namun, karena beberapa tindakan ini tidak dinyalakan secara default, Anda harus mengambil tindakan langsung untuk mengimplementasikannya. Pertimbangkan rekomendasi berikut sebagai langkah-langkah dasar untuk mengamankan Akun AWS Anda. Saat mengimplementasikan langkah-langkah ini, penting halnya untuk membangun sebuah proses yang dilakukan untuk menilai dan memantau kontrol keamanan secara berkelanjutan.
Saat pertama kali membuat Akun AWS, Anda memulai dengan satu identitas yang memiliki akses lengkap ke semua layanan dan sumber daya AWS di akun tersebut. Identitas ini disebut pengguna root Akun AWS. Anda dapat masuk sebagai pengguna root menggunakan alamat email dan kata sandi yang Anda gunakan untuk membuat akun. Karena peningkatan akses yang diberikan kepada pengguna root AWS, Anda harus membatasi penggunaan pengguna root AWS untuk melakukan tugas-tugas yang secara khusus memerlukannya. Kredensial masuk pengguna root harus diamankan secara ketat, dan selalu gunakan autentikasi multi-faktor (MFA) untuk pengguna root Akun AWS.
Selain alur autentikasi normal untuk masuk log in ke pengguna root Anda yang menggunakan nama pengguna, kata sandi, perangkat autentikasi multi-faktor (MFA), ada alur pemulihan akun untuk masuk ke pengguna root Akun AWS Anda yang mendapatkan akses ke alamat email dan nomor telepon yang dikaitkan dengan akun Anda. Oleh karena itu, pastikan Anda mengamankan akun email pengguna root yang digunakan untuk mengirimkan email pemulihan dan nomor telepon yang terkait dengan akun tersebut. Selain itu, Anda juga perlu mempertimbangkan potensi rantai dependensi apabila alamat email yang terkait dengan pengguna root di-host di server email atau sumber daya layanan nama domain (DNS) dari Akun AWS yang sama.
Saat menggunakan AWS Organizations, ada beberapa Akun AWS yang masing-masing memiliki satu pengguna root. Satu akun ditetapkan sebagai akun manajemen dan beberapa lapisan akun anggota kemudian dapat ditambahkan di bawah akun manajemen. Prioritaskan pengamanan pengguna root di akun manajemen Anda, lalu hubungi pengguna root akun anggota Anda. Strategi pengamanan pengguna root akun manajemen Anda dapat berbeda dari pengguna root akun anggota, dan Anda dapat menerapkan kontrol keamanan preventif pada pengguna root akun anggota Anda.
Langkah-langkah implementasi
Langkah-langkah implementasi berikut direkomendasikan untuk membuat kontrol bagi pengguna root tersebut. Jika berlaku, rekomendasi direferensikan silang ke benchmark CIS AWS Foundations versi 1.4.0. Selain langkah-langkah ini, konsultasikan pedoman praktik terbaik AWS
Kontrol pencegahan
-
Siapkan informasi kontak yang akurat untuk akun tersebut.
-
Informasi ini digunakan untuk alur pemulihan kehilangan kata sandi, alur pemulihan kehilangan akun perangkat MFA, dan untuk komunikasi penting terkait keamanan dengan tim Anda.
-
Gunakan alamat email yang di-host oleh domain perusahaan Anda, sebaiknya dari daftar distribusi, sebagai alamat email pengguna root Anda. Menggunakan daftar distribusi memberikan redundansi tambahan dan keberlanjutan akses ke akun root dalam waktu lama dibanding menggunakan akun email individu.
-
Nomor telepon yang tercantum pada informasi kontak harus berupa telepon khusus dan aman untuk tujuan ini. Nomor telepon ini tidak boleh dicantumkan atau dibagikan kepada siapa pun.
-
-
Jangan membuat kunci akses untuk pengguna root. Jika ada kunci akses, langsung hapus (CIS 1.4).
-
Hilangkan kredensial terprogram yang sudah lama (kunci rahasia dan akses) untuk pengguna root.
-
Jika kunci akses pengguna root sudah ada, Anda harus melakukan transisi proses menggunakan kunci tersebut untuk menggunakan kunci akses sementara dari peran (IAM) AWS Identity and Access Management, kemudian hapus kunci akses pengguna root.
-
-
Tentukan apakah Anda perlu menyimpan kredensial untuk pengguna root.
-
Jika Anda menggunakan AWS Organizations untuk membuat akun anggota baru, kata sandi awal untuk pengguna root pada akun anggota baru tersebut akan ditetapkan ke nilai acak yang tidak akan ditampilkan kepada Anda. Pertimbangkan untuk menggunakan alur pengaturan ulang kata sandi dari akun manajemen Organisasi AWS Anda untuk mendapatkan akses ke akun anggota jika diperlukan.
-
Untuk Akun AWS atau akun AWS Organization manajemen terpisah, Anda disarankan untuk membuat dan menyimpan kredensial dengan aman untuk pengguna root. Gunakan MFA untuk pengguna root.
-
-
Aktifkan kontrol pencegahan untuk pengguna root akun anggota di lingkungan multi-akun AWS.
-
Pertimbangkan untuk menggunakan pagar penjaga pencegahan Jangan Izinkan Pembuatan Kunci Akses Root untuk Pengguna Root untuk akun anggota.
-
Pertimbangkan untuk menggunakan pagar penjaga pencegahan Jangan Izinkan Tindakan sebagai Pengguna Root untuk akun anggota.
-
-
Jika Anda memerlukan kredensial untuk pengguna root:
-
Gunakan kata sandi yang kompleks.
-
Nyalakan autentikasi multi-faktor (MFA) untuk pengguna root, khususnya untuk akun manajemen (pembayar) AWS Organizations (CIS 1.5).
-
Pertimbangkan perangkat MFA pada perangkat keras untuk ketahanan dan keamanan, karena perangkat sekali pakai dapat mengurangi kemungkinan perangkat yang berisi kode MFA Anda dapat digunakan kembali untuk tujuan lain. Pastikan baterai pada perangkat MFA perangkat keras diganti secara rutin. (CIS 1.6)
-
Untuk mengkonfigurasi MFA untuk pengguna root, ikuti instruksi untuk membuat MFA virtual atau perangkat perangkat keras MFA.
-
-
Pertimbangkan untuk mendaftarkan beberapa perangkat MFA untuk cadangan. Hingga 8 perangkat MFA diperbolehkan per akun
. -
Perhatikan bahwa mendaftarkan lebih dari satu perangkat MFA untuk pengguna root secara otomatis mematikan alur untuk memulihkan akun Anda jika perangkat MFA hilang
.
-
-
Simpan kata sandi dengan aman, dan pertimbangkan dependensi melingkar jika menyimpan kata sandi secara elektronik. Jangan gunakan cara penyimpanan kata sandi yang memerlukan akses ke Akun AWS yang sama untuk mendapatkannya.
-
-
Opsional: Coba terapkan jadwal rotasi kata sandi untuk pengguna root secara berkala.
-
Praktik terbaik manajemen kredensial bergantung pada persyaratan peraturan dan kebijakan Anda. Pengguna root yang dilindungi oleh MFA tidak mengandalkan kata sandi sebagai satu faktor autentikasi.
-
Mengubah kata sandi pengguna root secara berkala mengurangi risiko bahwa kata sandi yang diketahui orang lain secara tidak sengaja dapat disalahgunakan.
-
Kontrol detektif
-
Buat alarm untuk mendeteksi penggunaan kredensial root (CIS 1.7). Amazon GuardDuty dapat memantau dan memperingatkan penggunaan kredensial API pengguna root melalui temuan RootCredentialUsage.
-
Mengevaluasi dan menerapkan kontrol-kontrol detektif yang termasuk dalam paket kesesuaian Pilar Keamanan yang Dirancang dengan Baik AWS untuk AWS Config, atau jika menggunakan AWS Control Tower, kontrol yang sangat disarankan tersedia di dalam Control Tower.
Panduan operasional
-
Tentukan siapa di organisasi Anda yang harus memiliki akses ke kredensial pengguna root.
-
Gunakan aturan dua orang sehingga tidak ada satu orang pun yang memiliki akses ke semua kredensial dan MFA yang diperlukan untuk mendapatkan akses pengguna root.
-
Pastikan bahwa organisasi, dan bukan perorangan, yang memegang kendali atas nomor telepon dan alias email yang terkait dengan akun (yang digunakan untuk alur pengaturan ulang kata sandi dan MFA).
-
-
Gunakan pengguna root hanya untuk keperluan khusus (CIS 1.7).
-
Pengguna root AWS tersebut tidak boleh digunakan untuk tugas sehari-hari, bahkan tugas administratif. Hanya masuk sebagai pengguna root untuk melakukan tugas-tugas AWS yang membutuhkan pengguna root. Semua tindakan lainnya harus dilakukan oleh pengguna lain dengan peran yang sesuai.
-
-
Periksa secara berkala apakah akses ke pengguna root berfungsi dengan baik sehingga prosedurnya telah teruji sebelum terjadi situasi darurat yang memerlukan penggunaan kredensial pengguna root.
-
Periksa secara berkala apakah alamat email yang terkait dengan akun dan yang tercantum di bawah Kontak Alternatif berfungsi. Pantau kotak masuk email untuk melihat apakah ada notifikasi keamanan yang Anda terima dari
<abuse@amazon.com>
. Selain itu, pastikan semua nomor telepon yang terkait dengan akun saat ini berfungsi dengan baik. -
Siapkan prosedur respons insiden untuk merespons penyalahgunaan akun root. Lihat Panduan Respons Insiden Keamanan AWS dan praktik-praktik terbaik di bagian Respons Insiden di laporan resmi Pilar Keamanan untuk mendapatkan informasi lebih lanjut tentang cara membangun strategi respons insiden untuk Akun AWS Anda.
Sumber daya
Praktik-praktik terbaik terkait:
Dokumen terkait:
Video terkait:
-
Aktifkan adopsi AWS dalam skala besar dengan menggunakan otomatisasi dan tata kelola
-
Membatasi penggunaan kredensial root AWS
dari AWS re:inforce 2022 — Praktik terbaik keamanan dengan IAM AWS
Contoh dan laboratorium terkait: