SEC01-BP02 Utente root e proprietà dell'account sicuro

L'utente root è l'utente con più privilegi in un account Account AWS, con accesso amministrativo completo a tutte le risorse all'interno dell'account e in alcuni casi non può essere vincolato dalle politiche di sicurezza. Disattivare l'accesso programmatico all'utente root, stabilire controlli appropriati per l'utente root ed evitare l'uso di routine dell'utente root aiuta a ridurre il rischio di esposizione involontaria delle credenziali root e la conseguente compromissione dell'ambiente cloud.

Risultato desiderato: proteggere l'utente root riduce la possibilità di danni accidentali o intenzionali dovuti all'uso improprio delle credenziali dell'utente root. La creazione di controlli investigativi può anche permettere di avvisare il personale appropriato quando vengono eseguite azioni utilizzando l'utente root.

Anti-pattern comuni:

Utilizzo dell'utente root per attività diverse da quelle che richiedono le proprie credenziali.
Nessun test dei piani di emergenza su base regolare per verificare il funzionamento di infrastrutture critiche, processi e personale durante un'emergenza.
Analisi limitata al tipico flusso di accesso all'account, trascurando di considerare o testare metodi alternativi di ripristino dell'account.
La gestioneDNS, i server di posta elettronica e i provider telefonici non fanno parte del perimetro di sicurezza critico, in quanto vengono utilizzati nel flusso di ripristino dell'account.

Vantaggi dell'adozione di questa best practice: proteggere l'accesso all'utente root aumenta la sicurezza circa controlli e audit delle azioni nell'account

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

AWS offre molti strumenti per proteggere il tuo account. Tuttavia, poiché alcune di queste misure non sono attivate per impostazione predefinita, è necessario intervenire direttamente per implementarle. Queste raccomandazioni costituiscono i passi fondamentali per mettere in sicurezza il proprio Account AWS. Durante l'implementazione di questi passaggi, è importante creare un processo di valutazione e monitoraggio continuo dei controlli di sicurezza.

La prima volta che si crea un account Account AWS, si inizia con un'identità che ha accesso completo a tutti i AWS servizi e le risorse dell'account. Questa identità è chiamata utente Account AWS root. Puoi accedere come utente root utilizzando l'indirizzo e-mail e la password usati per creare l'account. A causa dell'accesso elevato concesso all'utente AWS root, è necessario limitare l'uso dell'utente AWS root per eseguire attività che lo richiedono specificamente. Le credenziali di accesso dell'utente root devono essere attentamente protette e l'autenticazione a più fattori (MFA) deve essere sempre utilizzata per l'utente root. Account AWS

Oltre al normale flusso di autenticazione per accedere all'utente root utilizzando un nome utente, una password e un dispositivo di autenticazione a più fattori (MFA), esistono flussi di ripristino dell'account per accedere all'utente Account AWS root che ha accesso all'indirizzo e-mail e al numero di telefono associati all'account. Pertanto, è altrettanto importante proteggere l'account e-mail dell'utente root a cui vengono inviati l'e-mail di recupero e il numero di telefono associato all'account. Considerate anche le potenziali dipendenze circolari in cui l'indirizzo e-mail associato all'utente root è ospitato su server di posta elettronica o su risorse del servizio di nomi di dominio (DNS) dello stesso. Account AWS

Quando si utilizza AWS Organizations, ce ne sono più di uno, Account AWS ognuno dei quali ha un utente root. Un account è designato come account di gestione e sotto l'account di gestione è possibile aggiungere diversi livelli di account membri. La priorità è proteggere l'utente root dell'account di gestione, quindi occuparsi degli utenti root degli account membri. La strategia per la protezione dell'utente root dell'account di gestione può essere diversa da quella degli utenti root degli account membri ed è possibile effettuare controlli di sicurezza preventivi sugli utenti root degli account membri.

Passaggi dell'implementazione

Per stabilire i controlli per l'utente root, si consigliano i seguenti passaggi di implementazione. Ove applicabile, le raccomandazioni sono riferite alla versione 1.4.0 del benchmark CIS AWS Foundations. Oltre a questi passaggi, consulta le linee guida sulle AWS migliori pratiche per proteggere le tue risorse. Account AWS

Controlli preventivi

Imposta informazioni di contatto precise per l'account.
1. Queste informazioni vengono utilizzate per il flusso di recupero della password smarrita, per il flusso di recupero dell'account MFA del dispositivo smarrito e per le comunicazioni critiche relative alla sicurezza con il team.
2. Utilizza un indirizzo e-mail ospitato dal dominio aziendale, preferibilmente una lista di distribuzione, come indirizzo e-mail dell'utente root. L'utilizzo di una lista di distribuzione anziché l'account e-mail di un singolo individuo offre una maggiore ridondanza e continuità di accesso all'account root per lunghi periodi di tempo.
3. Il numero di telefono indicato nelle informazioni di contatto deve essere dedicato e sicuro per questo scopo. Il numero di telefono non deve essere indicato o condiviso con nessuno.
Non creare chiavi di accesso per l'utente root. Se esistono chiavi di accesso, rimuovile (1.4)CIS.
1. Elimina le credenziali programmatiche a lunga durata (chiavi di accesso e segrete) per l'utente root.
2. Se esistono già chiavi di accesso utente root, è necessario passare i processi che utilizzano tali chiavi all'utilizzo di chiavi di accesso temporanee da un ruolo AWS Identity and Access Management (IAM), quindi eliminare le chiavi di accesso dell'utente root.
Stabilisci se è necessario memorizzare le credenziali per l'utente root.
1. Se si utilizza AWS Organizations per creare nuovi account membro, la password iniziale per l'utente root sui nuovi account membro viene impostata su un valore casuale che non è esposto all'utente. Valuta la possibilità di utilizzare il flusso di reimpostazione della password del tuo account di gestione AWS dell'organizzazione per accedere all'account del membro, se necessario.
2. Per l'account AWS aziendale autonomo Account AWS o di gestione, valuta la possibilità di creare e archiviare in modo sicuro le credenziali per l'utente root. Utilizzare MFA per l'utente root.
Utilizza i controlli preventivi per gli utenti root degli account membro in ambienti con AWS più account.
1. Prendi in considerazione l'utilizzo del guardrail preventivo Disallow Creation of Root Access Keys for Root User per gli account membri.
2. Prendi in considerazione l'utilizzo del guardrail preventivo Disallow Actions as a Root User per gli account membri.
Se sono necessarie le credenziali per l'utente root:
1. Utilizza una password complessa.
2. Attiva l'autenticazione a più fattori (MFA) per l'utente root, in particolare per gli account di AWS Organizations gestione (paganti) (1.5). CIS
3. Prendi in considerazione MFA i dispositivi hardware per garantire resilienza e sicurezza, poiché i dispositivi monouso possono ridurre le possibilità che i dispositivi contenenti i tuoi MFA codici vengano riutilizzati per altri scopi. Verifica che MFA i dispositivi hardware alimentati da una batteria vengano sostituiti regolarmente. (CIS1.6)
  - Per eseguire la configurazione MFA per l'utente root, segui le istruzioni per la creazione di un MFAdispositivo virtuale MFA o hardware.
4. Prendi in considerazione la possibilità di registrare più MFA dispositivi per il backup. Sono consentiti fino a 8 MFA dispositivi per account.
  - Tieni presente che la registrazione di più di un MFA dispositivo per l'utente root disattiva automaticamente il processo di ripristino dell'account in caso di smarrimento del MFA dispositivo.
5. Conserva la password in modo sicuro e considera le dipendenze circolari se la password viene conservata elettronicamente. Non archiviate la password in modo tale da richiedere l'accesso alla stessa per Account AWS ottenerla.
Facoltativo: valuta la possibilità di stabilire un programma di rotazione periodica delle password per l'utente root.
- Le best practice per la gestione delle credenziali dipendono dai requisiti normativi e di policy. Gli utenti root protetti da non MFA fanno affidamento sulla password come singolo fattore di autenticazione.
- La modifica periodica della password dell'utente root riduce il rischio di utilizzo improprio di una password esposta inavvertitamente.

Controlli di rilevamento

Crea allarmi per rilevare l'uso delle credenziali root (CIS1.7). Amazon GuardDuty può monitorare e inviare avvisi sull'utilizzo delle API credenziali degli utenti root tramite la RootCredentialUsagericerca.
Valuta e implementa i controlli investigativi inclusi nel pacchetto di conformitàAWS Well-Architected Security Pillar AWS Config per, o se AWS Control Tower utilizzi, i controlli fortemente consigliati disponibili all'interno di Control Tower.

Guida operativa

Stabilisci chi nell'organizzazione deve avere accesso alle credenziali dell'utente root.
- Utilizza una regola per due persone in modo che nessun individuo abbia accesso a tutte le credenziali necessarie e ottenga l'accesso come utente root. MFA
- Verifica che l'organizzazione, e non un singolo individuo, mantenga il controllo sul numero di telefono e sull'alias e-mail associati all'account (utilizzati per la reimpostazione e MFA il flusso di reimpostazione della password).
Usa l'utente root solo per eccezione (CIS1.7).
- L'utente AWS root non deve essere utilizzato per attività quotidiane, nemmeno amministrative. Effettua l'accesso come utente root solo per eseguire attivitàAWS che richiedono l'utente root. Tutte le altre azioni devono essere eseguite da altri utenti che assumono i ruoli appropriati.
Verifica periodicamente che l'accesso all'utente root sia funzionante, in modo da testare le procedure prima di una situazione di emergenza che richieda l'uso delle credenziali dell'utente root.
Verifica a intervalli regolari il funzionamento dell'indirizzo e-mail associato all'account e quelli indicati nei contatti alternativi. Monitora queste caselle di posta elettronica per le notifiche di sicurezza che potresti ricevere da <abuse@amazon.com>. Assicurati inoltre che i numeri di telefono associati all'account siano attivi.
Prepara procedure di risposta agli incidenti per rispondere all'uso improprio dell'account root. Consulta la AWS Security Incident Response Guide e le best practice nella sezione Risposta agli imprevisti del whitepaper sul pilastro della sicurezza per ulteriori informazioni circa la creazione di una strategia di risposta agli incidenti adatta al tuo Account AWS.

Risorse

Best practice correlate:

Documenti correlati:

Video correlati:

Organizing Your AWS Environment Using Multiple Accounts
Security Best Practices the Well-Architected Way
Limitazione dell'uso delle credenziali AWS root di AWS re:inforce 2022 — Migliori pratiche di sicurezza con AWS IAM

Esempi e lab correlati:

Lab: configurazione e utente root Account AWS

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SEC01-BP01 Carichi di lavoro separati utilizzando gli account

SEC01-BP03 Identificare e convalidare gli obiettivi di controllo