SEC06-BP03 Ridurre la gestione manuale e l'accesso interattivo - Pilastro della sicurezza

SEC06-BP03 Ridurre la gestione manuale e l'accesso interattivo

Utilizza l'automazione per eseguire attività di implementazione, configurazione, manutenzione e investigazione, laddove possibile. Quando l'automazione non è disponibile, considera l'accesso manuale alle risorse di calcolo in caso di procedure di emergenza o in ambienti sicuri (sandbox).

Risultato desiderato: acquisizione mediante script programmatici e documenti di automazione (runbook) delle azioni autorizzate sulle tue risorse di calcolo. Questi runbook vengono avviati in automatico, attraverso i sistemi di rilevamento delle modifiche, o manualmente, quando è necessario il giudizio umano. L'accesso diretto alle risorse di calcolo è disponibile solo in situazioni di emergenza, quando l'automazione non è disponibile. Tutte le attività manuali vengono inserite in un log e in un processo di revisione per migliorare in modo continuo le capacità di automazione.

Anti-pattern comuni:

  • Accesso interattivo alle EC2 istanze Amazon con protocolli come SSH oRDP.

  • Mantenimento degli accessi dei singoli utenti, come /etc/passwd o gli utenti locali di Windows.

  • Condivisione di una password o chiave privata per accedere a un'istanza tra più utenti.

  • Installazione del software e creazione o aggiornamento manuali dei file di configurazione.

  • Aggiornamento o applicazione di patch manuale al software.

  • Accesso a un'istanza per risolvere i problemi.

Vantaggi dell'adozione di questa best practice: l'esecuzione di azioni automatizzate favorisce la riduzione del rischio operativo legato a modifiche non intenzionali ed errori di configurazione. La rimozione dell'uso di Secure Shell (SSH) e Remote Desktop Protocol (RDP) per l'accesso interattivo riduce l'ambito di accesso alle risorse di elaborazione. In tal modo si elimina un percorso comune per le azioni non autorizzate. Acquisire le attività di gestione delle risorse di calcolo in documenti di automazione e script di programmazione significa definire e sottoporre ad audit l'intero ambito delle attività autorizzate a un livello di dettaglio granulare.

Livello di rischio associato se questa best practice non fosse adottata: medio

Guida all'implementazione

L'accesso a un'istanza è un approccio classico all'amministrazione del sistema. Dopo aver installato il sistema operativo del server, gli utenti in genere accedono manualmente per configurare il sistema e installare il software desiderato. Nel corso del ciclo di vita del server, gli utenti possono accedere per eseguire aggiornamenti del software, applicare patch, modificare le configurazioni e risolvere i problemi.

L'accesso manuale comporta tuttavia una serie di rischi. Richiede un server in grado di ascoltare le richieste, ad esempio un RDP servizio SSH or, in grado di fornire un potenziale percorso di accesso non autorizzato. Inoltre, aumenta il rischio di errore umano associato all'esecuzione di operazioni manuali. Le conseguenze possono essere incidenti sul carico di lavoro, danneggiamento o distruzione dei dati o altri problemi di sicurezza. L'accesso umano richiede inoltre protezioni contro la condivisione delle credenziali, creando ulteriori costi di gestione. 

Per mitigare questi rischi, è possibile implementare una soluzione di accesso remoto basata su agenti, come Systems Manager AWS . AWS Systems Manager Agent (SSMAgent) avvia un canale crittografato e quindi non si basa sull'ascolto di richieste avviate dall'esterno. Prendi in considerazione la possibilità di configurare SSM Agent per stabilire questo canale su un endpoint. VPC

Systems Manager offre un controllo granulare delle modalità di interazione con le istanze gestite. Sei tu a definire le automazioni da eseguire, chi può eseguirle e quando possono essere eseguite. Systems Manager è in grado di applicare patch, installare software e apportare modifiche alla configurazione senza accesso interattivo all'istanza. Systems Manager può anche fornire l'accesso a una shell remota e registrare ogni comando richiamato e il relativo output durante la sessione nei log e in Amazon S3. AWS CloudTrailregistra le chiamate di Systems Manager APIs per l'ispezione.

Passaggi dell'implementazione

  1. Installa AWS Systems Manager Agent (SSMAgent) sulle tue EC2 istanze Amazon. Verifica se SSM Agent è incluso e avviato automaticamente come parte della AMI configurazione di base.

  2. Verifica che i IAM ruoli associati ai profili delle tue EC2 istanze includano la IAMpolicy AmazonSSMManagedInstanceCore gestita.

  3. SSHRDPDisabilita e altri servizi di accesso remoto in esecuzione sulle tue istanze. Puoi farlo eseguendo script configurati nella sezione dei dati utente dei tuoi modelli di lancio o creandone di personalizzati AMIs con strumenti come EC2 Image Builder.

  4. Verificate che le regole di ingresso dei gruppi di sicurezza applicabili alle vostre EC2 istanze non consentano l'accesso alla porta 22/tcp () o alla porta 3389/tcp ()SSH. RDP Implementa il rilevamento e l'invio di avvisi su gruppi di sicurezza non configurati correttamente utilizzando servizi come AWS Config.

  5. Definisci automazioni, runbook ed esegui comandi appropriati in Systems Manager. Utilizzate IAM le politiche per definire chi può eseguire queste azioni e le condizioni in base alle quali sono consentite. Testa in modo approfondito queste automazioni in un ambiente non di produzione. Richiama queste automazioni quando necessario, invece di accedere in modo interattivo all'istanza.

  6. Utilizza AWS Systems Manager Session Manager per fornire un accesso interattivo alle istanze, quando necessario. Attiva la registrazione delle attività delle sessioni per mantenere un audit trail in Amazon CloudWatch Logs o Amazon S3

Risorse

Best practice correlate:

Esempi correlati:

Strumenti correlati:

Video correlati: