SEC02-BP05 Verifica e ruota periodicamente le credenziali - AWS Well-Architected Framework
Guida all'implementazioneRisorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

SEC02-BP05 Verifica e ruota periodicamente le credenziali

Sottoponi a audit e ruota periodicamente le credenziali per limitarne il tempo di utilizzo per l'accesso alle risorse. Le credenziali a lungo termine espongono a molti rischi, riducibili mediante la rotazione periodica.

Risultato desiderato: implementa la rotazione delle credenziali per ridurre i rischi associati all'utilizzo delle credenziali a lungo termine. Esegui regolarmente l'audit e rimedia alla non conformità con le policy di rotazione delle credenziali.

Anti-pattern comuni:

  • Nessun audit dell'uso delle credenziali.

  • Utilizzo non necessario di credenziali a lungo termine.

  • Utilizzo di credenziali a lungo termine e mancata rotazione regolare.

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

Quando non puoi fare affidamento su credenziali temporanee e richiedere credenziali a lungo termine, verifica le credenziali per verificare che controlli definiti come l'autenticazione a più fattori (MFA) vengano applicati, ruotati regolarmente e abbiano il livello di accesso appropriato.

La convalida periodica, preferibilmente tramite uno strumento automatizzato, è necessaria per verificare l'applicazione dei controlli corretti. Per le identità umane, è necessario richiedere agli utenti di modificare periodicamente le password e ritirare le chiavi di accesso a favore delle credenziali temporanee. Passando da AWS Identity and Access Management (IAM) utenti a identità centralizzate, potete generare un rapporto sulle credenziali per controllare gli utenti.

Ti consigliamo inoltre di applicare e monitorare MFA il tuo provider di identità. Puoi impostare Regole di AWS Configo utilizzare gli standard di AWS Security Hub sicurezza per monitorare se gli utenti hanno configurato MFA la configurazione. Prendi in considerazione l'utilizzo di IAM Roles Anywhere per fornire credenziali temporanee per le identità delle macchine. In situazioni in cui non è possibile utilizzare IAM ruoli e credenziali temporanee, è necessario controllare frequentemente e ruotare le chiavi di accesso.

Passaggi dell'implementazione

  • Controlla regolarmente le credenziali: verifica le identità configurate nel tuo provider di identità e IAM aiuta a verificare che solo le identità autorizzate abbiano accesso al tuo carico di lavoro. Tali identità possono includere, a titolo esemplificativo ma non esaustivo, IAM utenti, AWS IAM Identity Center utenti di Active Directory o utenti di un provider di identità upstream diverso. Ad esempio, eliminare le persone che lasciano l'organizzazione e i ruoli multi-account non più necessari. Predisponi di una procedura per verificare periodicamente le autorizzazioni ai servizi a cui accede un'entità. IAM In questo modo potrai identificare le policy da modificare per rimuovere le autorizzazioni non utilizzate. Utilizzate i report sulle credenziali e AWS Identity and Access Management Access Analyzercontrollate IAM le credenziali e le autorizzazioni. Puoi usare Amazon CloudWatch per impostare allarmi per API chiamate specifiche chiamate all'interno del tuo AWS ambiente. Amazon GuardDuty può anche avvisarti di attività impreviste, che potrebbero indicare un accesso eccessivamente permissivo o un accesso non intenzionale alle credenziali. IAM

  • Ruota le credenziali regolarmente: quando non puoi utilizzare credenziali temporanee, ruota le chiavi di IAM accesso a lungo termine regolarmente (al massimo ogni 90 giorni). In caso di divulgazione involontaria e a propria insaputa di una chiave di accesso, questo limita la durata di utilizzo delle credenziali per accedere alle risorse. Per informazioni sulla rotazione delle chiavi di accesso per IAM gli utenti, consulta Rotazione delle chiavi di accesso.

  • Rivedi IAM le autorizzazioni: per migliorare la sicurezza delle tue politiche Account AWS, rivedi e monitora regolarmente ciascuna delle tue politiche. IAM Verifica che le policy rispettino il principio del privilegio minimo.

  • Valuta la possibilità di automatizzare la creazione e gli aggiornamenti IAM delle risorse: IAM Identity Center automatizza molte IAM attività, come la gestione di ruoli e policy. In alternativa, AWS CloudFormation può essere utilizzato per automatizzare l'implementazione delle IAM risorse, inclusi ruoli e policy, per ridurre la possibilità di errori umani, poiché i modelli possono essere verificati e le versioni controllate.

  • Usa IAM Roles Anywhere per sostituire IAM gli utenti per le identità delle macchine: IAM Roles Anywhere ti consente di utilizzare i ruoli in aree che tradizionalmente non consentivi, come i server locali. IAMRoles Anywhere utilizza un certificato X.509 affidabile per autenticarsi e ricevere credenziali temporanee. AWS L'utilizzo di IAM Roles Anywhere evita la necessità di ruotare queste credenziali, poiché le credenziali a lungo termine non vengono più archiviate nell'ambiente locale. È necessario monitorare e ruotare il certificato X.509 quando si avvicina alla scadenza.

Risorse

Best practice correlate:

Documenti correlati:

Video correlati:

Esempi correlati: