SEC03-BP07 Analisi dell'accesso multi-account e pubblico

Monitora continuamente i risultati che evidenziano l'accesso multi-account e pubblico. Limita l'accesso multi-account e pubblico alle risorse che lo richiedono.

Risultato desiderato: conosci le risorse AWS condivise e con chi avviene la condivisione. Monitora e sottoponi costantemente ad audit le risorse condivise per verificare che siano condivise solo con i principali autorizzati.

Anti-pattern comuni:

Assenza di un inventario delle risorse condivise.
Mancanza di un processo di approvazione dell'accesso multi-account e dell'accesso pubblico alle risorse.

Livello di rischio associato se questa best practice non fosse adottata: basso

Guida all'implementazione

Se l'account è in AWS Organizations, puoi concedere l'accesso alle risorse all'intera organizzazione, a specifiche unità organizzative o a singoli account. Se l'account non è membro di un'organizzazione, puoi condividere le risorse con account individuali. Puoi concedere l'accesso multi-account diretto utilizzando policy basate sulle risorse, ad esempio le policy di bucket di Amazon Simple Storage Service (Amazon S3) o consentendo a un principale di un altro account di assumere un ruolo IAM nel tuo account. Quando utilizzi le policy sulle risorse, verifica che l'accesso sia concesso solo ai principali autorizzati. Definisci un processo per approvare tutte le risorse che devono essere pubblicamente disponibili.

AWS Identity and Access Management Access Analyzer utilizza una sicurezza comprovabile per identificare tutti i percorsi di accesso a una risorsa dall'esterno del proprio account. Esamina continuamente le policy delle risorse e segnala i risultati dell'accesso multi-account e pubblico per semplificare l'analisi di accessi potenzialmente estesi. Prendi in considerazione la configurazione di IAM Access Analyzer con AWS Organizations per verificare di avere visibilità su tutti i tuoi account. IAM Access Analyzer consente inoltre di visualizzare in anteprima i risultati prima di implementare le autorizzazioni per le risorse. In questo modo è possibile verificare che le modifiche alle policy garantiscano alle risorse solo l'accesso multi-account e pubblico previsto. In caso di progettazione per l'accesso multi-account, puoi utilizzare policy di affidabilità per controllare i casi in cui è possibile assumere un ruolo. Ad esempio, puoi utilizzare la chiave di condizione PrincipalOrgId per negare un tentativo di assumere un ruolo al di fuori di AWS Organizations.

AWS Config è grado di segnalare le risorse non configurate correttamente. Inoltre, tramite i controlli delle policy AWS Config, rileva le risorse con l'accesso pubblico configurato. Servizi come AWS Control Tower e AWS Security Hub semplificano l'implementazione di controlli di rilevamento e guardrail in AWS Organizations per identificare e correggere le risorse pubblicamente esposte. Ad esempio, AWS Control Tower dispone di un guardrail gestito in grado di rilevare se eventuali snapshot Amazon EBS sono ripristinabili tramite Account AWS.

Passaggi dell'implementazione

Prendi in considerazione l'utilizzo di AWS Config per AWS Organizations: AWS Config consente di aggregare gli esiti di più account all'interno di AWS Organizations in un account amministratore delegato. In questo modo, avrai una visione completa e potrai eseguire l'implementazione di Regole di AWS Config su più account per rilevare risorse accessibili al pubblico.
Configurare AWS Identity and Access Management Access Analyzer: consente di identificare le risorse nell'organizzazione e negli account, ad esempio bucket Amazon S3 o ruoli IAM, condivise con un'entità esterna.
Usa la riparazione automatica in AWS Config per rispondere alle modifiche nella configurazione dell'accesso pubblico dei bucket Amazon S3: puoi attivare in automatico le impostazioni di blocco dell'accesso pubblico per i bucket Amazon S3.
Implementa monitoraggio e avvisi per stabilire se i bucket Amazon S3 sono diventati pubblici: devi disporre di monitoraggio e avvisi per stabilire se il blocco dell'accesso pubblico Amazon S3 è disattivato e se i bucket Amazon S3 diventano pubblici. Inoltre, se utilizzi AWS Organizations, puoi creare una policy di controllo dei servizi che impedisca modifiche alle policy di accesso pubblico di Amazon S3. AWS Trusted Advisor verifica la presenza di bucket di Amazon S3 dotati di autorizzazioni di accesso aperte. Le autorizzazioni bucket che concedono, caricano o eliminano l'accesso per chiunque danno origine a potenziali problemi di sicurezza, consentendo a chiunque di aggiungere, modificare o rimuovere elementi in un bucket. Il controllo di Trusted Advisor esamina le autorizzazioni bucket esplicite e le policy associate che possono prevalere sulle autorizzazioni bucket. Puoi anche utilizzare AWS Config per monitorare l'accesso pubblico ai bucket Amazon S3. Per ulteriori informazioni, consulta How to Use AWS Config to Monitor for and Respond to Amazon S3 Buckets Allowing Public Access.

Quando si esaminano i controlli di accesso per i bucket Amazon S3, è importante considerare la natura dei dati memorizzati al loro interno. Amazon Macie è un servizio progettato per aiutarti a scoprire e proteggere dati sensibili, come informazioni di identificazione personale (PII), dati sanitari protetti (PHI) e credenziali come chiavi private o chiavi di accesso AWS.

Risorse

Documenti correlati:

Video correlati:

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SEC03-BP06 Gestione degli accessi in base al ciclo di vita

SEC03-BP08 Condivisione delle risorse in modo sicuro all'interno dell'organizzazione