SEC08-BP04 Reforce o controle de acesso - AWS Estrutura Well-Architected
Orientação para implementaçãoRecursos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

SEC08-BP04 Reforce o controle de acesso

Para ajudar a proteger seus dados em repouso, implemente o controle de acesso utilizando mecanismos como isolamento e versionamento e aplique o princípio de privilégio mínimo. Evite conceder acesso público aos seus dados.

Resultado desejado: verifique se somente usuários autorizados podem acessar os dados em uma need-to-know base. Proteja seus dados com backups regulares e versionamento a fim de impedir a modificação ou a exclusão de dados intencionais ou acidentais. Isole dados críticos de outros dados a fim de proteger a confidencialidade e a integridade desses dados.

Práticas comuns que devem ser evitadas:

  • Armazenar dados com requisitos de confidencialidade ou classificações diferentes juntos.

  • Utilizar permissões excessivamente tolerantes em chaves de descriptografia.

  • Classificar dados de modo inadequado.

  • Não reter backups detalhados de dados importantes.

  • Conceder acesso persistente a dados de produção.

  • Não auditar o acesso aos dados nem rever as permissões regularmente.

Nível de risco exposto se esta prática recomendada não for estabelecida: Baixo

Orientação para implementação

Vários controles podem ajudar a proteger seus dados em repouso, por exemplo, acesso (utilizando privilégio mínimo), isolamento e versionamento. O acesso aos seus dados deve ser auditado usando mecanismos de detecção, como registros de nível de serviço AWS CloudTrail, como registros de acesso ao Amazon Simple Storage Service (Amazon S3). Você deve inventariar quais dados são acessíveis publicamente e criar um plano para reduzir a quantidade de dados disponíveis ao longo do tempo.

O Amazon S3 Glacier Vault Lock e o Amazon S3 Object Lock fornecem controle de acesso obrigatório para os objetos no Amazon S3. Assim que uma política de cofre é bloqueada com a opção de conformidade, nem mesmo o usuário-raiz pode alterá-la até que o bloqueio expire.

Etapas de implementação

  • Aplique controle de acesso: aplique o controle de acesso com privilégio mínimo, incluindo acesso a chaves de criptografia.

  • Separe os dados com base em diferentes níveis de classificação: use Contas da AWS diferentes para níveis de classificação de dados e gerencie essas contas usando o AWS Organizations.

  • Revise AWS Key Management Service (AWS KMS) políticas: revise o nível de acesso concedido nas AWS KMS políticas.

  • Revise as permissões de bucket e objeto do Amazon S3: revise regularmente o nível de acesso concedido em políticas de bucket do S3. Uma das práticas recomendadas é evitar buckets que possam ser lidos ou gravados publicamente. Considere usar AWS Configpara detectar buckets que estão disponíveis publicamente e a Amazon CloudFront para servir conteúdo do Amazon S3. Garanta que os buckets que não devem permitir acesso público sejam configurados adequadamente para evitar o acesso público. Por padrão, todos os buckets do S3 são privados e só ser acessados por usuários que receberam explicitamente esse acesso.

  • Use o AWS IAMAccess Analyzer: o IAM Access Analyzer analisa os buckets do Amazon S3 e gera uma descoberta quando uma política do S3 concede acesso a uma entidade externa.

  • Use o versionamento do Amazon S3 e o bloqueio de objetos quando apropriado.

  • Use o Inventário Amazon S3: o Inventário Amazon S3 é uma das ferramentas que podem ser usadas para auditar e gerar relatórios sobre o status de replicação e criptografia de seus objetos do S3.

  • Revise a Amazon EBS e AMI as permissões de compartilhamento: as permissões de compartilhamento podem permitir Contas da AWS que imagens e volumes sejam compartilhados com pessoas externas à sua carga de trabalho.

  • Revise os compartilhamentos do AWS Resource Access Manager periodicamente para determinar se os recursos devem continuar sendo compartilhados. O Resource Access Manager permite que você compartilhe recursos, como políticas de Firewall de AWS Rede, regras de resolução do Amazon Route 53 e sub-redes, dentro da sua Amazon. VPCs Faça auditoria em recursos compartilhados regularmente e interrompa o compartilhamento dos que não precisam mais ser compartilhados.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados: