SEC08-BP04 Aplicar controle de acesso - Framework Well-Architected da AWS
Orientação para implementaçãoRecursos

SEC08-BP04 Aplicar controle de acesso

Para ajudar a proteger os dados em repouso, implemente o controle de acesso utilizando mecanismos como isolamento e versionamento. Aplique o privilégio mínimo e os controles de acesso condicional. Evite conceder acesso público aos seus dados.

Resultado desejado: você verifica se somente usuários autorizados podem acessar os dados com base na necessidade real de acesso. Você protege os dados com backups regulares e versionamento a fim de impedir a modificação ou exclusão de dados de maneira intencional ou acidental. Você isola os dados críticos dos outros dados a fim de proteger a confidencialidade e a integridade desses dados.

Práticas comuns que devem ser evitadas:

  • Armazenar dados com requisitos de confidencialidade ou classificações diferentes juntos.

  • Utilizar permissões excessivamente tolerantes em chaves de descriptografia.

  • Classificar dados de modo inadequado.

  • Não reter backups detalhados de dados importantes.

  • Conceder acesso persistente a dados de produção.

  • Não auditar o acesso aos dados nem rever as permissões regularmente.

Nível de risco exposto se esta prática recomendada não for estabelecida: Alto

Orientação para implementação

Proteger dados em repouso é importante para manter a integridade, a confidencialidade e a conformidade dos dados com os requisitos normativos. Você pode implementar vários controles para ajudar a conseguir isso, incluindo controle de acesso, isolamento, acesso condicional e versionamento.

Você pode aplicar o controle de acesso com o princípio do privilégio mínimo, que fornece somente as permissões necessárias aos usuários e serviços para realizar suas tarefas. Isso inclui acesso às chaves de criptografia. Revise suas políticas do AWS Key Management Service (AWS KMS) para verificar se o nível de acesso concedido é apropriado e se as condições relevantes se aplicam.

Você pode separar dados com base em diferentes níveis de classificação usando Contas da AWS distintas para cada nível e gerenciar essas contas usando o AWS Organizations. Esse isolamento pode ajudar a impedir o acesso não autorizado e minimizar o risco de exposição de dados.

Revise regularmente o nível de acesso concedido em políticas de bucket do S3. Evite buckets que possam ser lidos ou gravados publicamente, a menos que seja absolutamente necessário. Considere usar o AWS Config para detectar buckets disponíveis publicamente e o Amazon CloudFront para fornecer conteúdo do Amazon S3. Garanta que os buckets que não devem permitir acesso público sejam configurados adequadamente para evitá-lo.

Implemente mecanismos de versionamento e bloqueio de objetos para dados críticos armazenados no Amazon S3. O versionamento do Amazon S3 preserva as versões anteriores dos objetos para recuperar dados de exclusões ou substituições acidentais. A funcionalidade Bloqueio de Objetos do Amazon S3 fornece controle de acesso obrigatório para objetos, o que impede que eles sejam excluídos ou substituídos, mesmo pelo usuário-raiz, até que o bloqueio expire. Além disso, o Amazon S3 Glacier Vault Lock oferece um recurso semelhante para arquivos armazenados no Amazon S3 Glacier.

Etapas de implementação

  1. Imponha o controle de acesso com o princípio de privilégio mínimo:

    • Analise as permissões de acesso concedidas aos usuários e serviços e verifique se eles têm somente as permissões necessárias para realizar suas tarefas.

    • Revise o acesso às chaves de criptografia verificando as políticas do AWS Key Management Service (AWS KMS).

  2. Separe dados com base em diferentes níveis de classificação:

    • Use Contas da AWS distintas para cada nível de classificação de dados.

    • Gerencie essas contas usando o AWS Organizations.

  3. Revise as permissões de buckets e objetos do Amazon S3:

    • Revise regularmente o nível de acesso concedido em políticas de bucket do S3.

    • Evite buckets que possam ser lidos ou gravados publicamente, a menos que seja absolutamente necessário.

    • Considere usar o AWS Config para detectar buckets disponíveis publicamente.

    • Use o Amazon CloudFront para fornecer conteúdo do Amazon S3.

    • Garanta que os buckets que não devem permitir acesso público sejam configurados adequadamente para evitá-lo.

    • Você pode aplicar o mesmo processo de revisão para bancos de dados e qualquer outra fonte de dados que use a autenticação do IAM, como SQS ou armazenamentos de dados de terceiros.

  4. Use o AWS IAM Access Analyzer:

    • Você pode configurar o AWS IAM Access Analyzer (https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) para analisar buckets do Amazon S3 e gerar descobertas quando uma política do S3 concede acesso a uma entidade externa.

  5. Implemente mecanismos de versionamento e bloqueio de objetos:

    • Use o versionamento do Amazon S3 para preservar as versões anteriores dos objetos, o que permite a recuperação de exclusões ou substituições acidentais.

    • Use a funcionalidade Bloqueio de Objetos do Amazon S3 para fornecer controle de acesso obrigatório para objetos, o que impede que eles sejam excluídos ou substituídos, mesmo pelo usuário-raiz, até que o bloqueio expire.

    • Use o Amazon S3 Glacier Vault Lock para arquivos armazenados no Amazon S3 Glacier.

  6. Use o Inventário Amazon S3:

    • Você pode usar o Inventário Amazon S3 para auditar e gerar relatórios sobre o status de replicação e criptografia dos objetos do S3.

  7. Revise as permissões de compartilhamento do Amazon EBS e da AMI:

    • Revise as permissões de compartilhamento para o Amazon EBS e para compartilhamento de AMIs a fim de verificar que as imagens e os volumes não são compartilhados com Contas da AWS externas à sua workload.

  8. Revise os compartilhamentos do AWS Resource Access Manager periodicamente:

    • Você pode usar o AWS Resource Access Manager para compartilhar recursos, como políticas do AWS Network Firewall, regras do Amazon Route 53 Resolver e sub-redes em suas Amazon VPCs.

    • Faça auditoria em recursos compartilhados regularmente e interrompa o compartilhamento dos que não precisam mais ser compartilhados.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados: