SEC02-BP05 Auditar e fazer a rotação das credenciais periodicamente

Audite e faça a rotação das credenciais periodicamente para limitar o período durante o qual as credenciais podem ser usadas para acessar seus recursos. Credenciais de longo prazo criam muitos riscos, e estes podem ser reduzidos por meio da rotação periódica das credenciais de longo prazo.

Resultado desejado: implemente a rotação de credenciais para ajudar a reduzir os riscos associados ao uso de credenciais a longo prazo. Audite e corrija regularmente a não conformidade com políticas de rotação de credenciais.

Práticas comuns que devem ser evitadas:

Não auditar o uso de credenciais.
Utilizar credenciais de longo prazo desnecessariamente.
Utilizar credenciais de longo prazo e não fazer sua rotação regularmente.

Nível de risco exposto se esta prática recomendada não for estabelecida: Alto

Orientação para implementação

Quando você não puder contar com credenciais temporárias e exigir credenciais de longo prazo, faça uma auditoria das credenciais para garantir que os controles definidos, por exemplo, autenticação multifator (MFA), sejam aplicados, sofram rotação periódica e tenham o nível de acesso apropriado.

A validação periódica, preferencialmente por meio de uma ferramenta automatizada, é necessária para verificar se os controles corretos são aplicados. Para identidades humanas, exija que os usuários alterem suas senhas periodicamente e substituam chaves de acesso por credenciais temporárias. Ao migrar de usuários do AWS Identity and Access Management (IAM) para identidades centralizadas, você pode gerar um relatório de credenciais para auditar seus usuários.

Também recomendamos implementar e monitorar a MFA no provedor de identidades. É possível configurar o Regras do AWS Config ou usar padrões de segurança do AWS Security Hub para monitorar se os usuários configuraram a MFA. Considere utilizar o IAM Roles Anywhere para fornecer credenciais temporárias para identidades de máquina. Em situações em que o uso de perfis do IAM e credenciais temporárias não é possível, é necessário realizar auditoria frequente e fazer a rotação das chaves de acesso.

Etapas de implementação

Audite as credenciais periodicamente: a auditoria das identidades configuradas em seu provedor de identidades e no IAM ajuda a garantir que somente identidades autorizadas tenham acesso à sua workload. Essas identidades podem incluir, entre outros, usuários do IAM, do AWS IAM Identity Center, do Active Directory ou usuários em um provedor de identidades upstream diferente. Por exemplo, remova as pessoas que saem da organização os perfis entre contas que não são mais necessários. Estabeleça um processo para auditar periodicamente as permissões para os serviços acessados por uma entidade do IAM. Isso ajuda a identificar as políticas que você precisa modificar a fim de remover todas as permissões não utilizadas. Use relatórios de credenciais e o AWS Identity and Access Management Access Analyzer para auditar credenciais e permissões do IAM. Você pode usar o Amazon CloudWatch para configurar alarmes para chamadas de API específicas chamadas dentro do seu ambiente. AWS O Amazon GuardDuty também pode alertar você sobre atividades inesperadas, o que pode indicar acesso excessivamente permissivo ou acesso não intencional às credenciais do IAM.
Faça a rotação das credenciais regularmente: quando não conseguir usar credenciais temporárias, faça a rotação das chaves de acesso do IAM de longo prazo regularmente (máximo a cada 90 dias). Se uma chave de acesso for divulgada acidentalmente sem seu conhecimento, isso limitará o período de uso das credenciais para acessar seus recursos. Para obter mais informações sobre a rotação de chaves de acesso para usuários do IAM, consulte Fazer a rotação das chave de acesso.
Revise suas permissões do IAM: para melhorar a segurança da sua conta da Conta da AWS, você deve revisar e monitorar regularmente cada uma de suas políticas do IAM. Verifique se as políticas seguem o princípio de privilégio mínimo.
Considere automatizar a criação e as atualizações de recursos do IAM: o IAM Identity Center automatiza muitas tarefas do IAM, como gerenciamento de perfis e políticas. Como alternativa, o AWS CloudFormation pode ser usado para automatizar a implantação de recursos do IAM, como perfis e políticas, para reduzir a chance de erros humanos, pois os modelos podem ser verificados e ter controle de versão.
Use o IAM Roles Anywhere para substituir usuários do IAM por identidades de máquina: o IAM Roles Anywhere permite que você use perfis em áreas que você tradicionalmente não poderia, como servidores locais. O IAM Roles Anywhere utiliza um certificado X.509 confiável para realizar a autenticação na AWS e receber credenciais temporárias. O uso do IAM Roles Anywhere evita a necessidade de fazer a rotação dessas credenciais, pois credenciais de longo prazo não são mais armazenadas em seu ambiente on-premises. Você precisará monitorar e fazer a rotação do certificado X.509 à medida que ele se aproxima da validade.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados:

Exemplos relacionados:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

SEC02-BP04 Confiar em um provedor de identidades centralizado

SEC02-BP06 Utilizar grupos de usuários e atributos