SEC03-BP08 Compartilhar recursos com segurança em sua organização
À medida que o número de workloads aumenta, talvez você precise compartilhar o acesso aos recursos nessas workloads ou fornecer os recursos várias vezes nas contas. Você pode ter estruturas para fragmentar seu ambiente, como ter ambientes de desenvolvimento, teste e produção. No entanto, ter estruturas de separação não limita o compartilhamento seguro. Ao compartilhar componentes que se sobrepõem, você pode reduzir a sobrecarga operacional e possibilitar uma experiência consistente sem precisar adivinhar o que ignorou ao criar o mesmo recurso várias vezes.
Resultado desejado: minimizar o acesso acidental utilizando métodos seguros para compartilhar recursos com sua organização e ajudar com sua iniciativa de prevenção de perda de dados. Reduza sua sobrecarga operacional em comparação com o gerenciamento de componentes individuais, reduza os erros gerados pela criação manual do mesmo componente várias vezes e aumente a escalabilidade de suas workloads. É possível se beneficiar da redução de tempo para a resolução em cenários de falhas em vários pontos e aumentar sua confiança na determinação de quando um componente não é mais necessário. Para ter orientações prescritivas sobre como analisar recursos compartilhados externamente, consulte SEC03-BP07 Analisar o acesso público e entre contas.
Antipadrões comuns:
-
Falta de um processo para monitorar de forma contínua e alertar automaticamente sobre o compartilhamento externo inesperado.
-
Falta de referência sobre o que deve ou não ser compartilhado.
-
Ter como padrão uma política amplamente aberta em vez de compartilhar explicitamente quando necessário.
-
Criar manualmente recursos básicos que se sobrepõem quando necessário.
Nível de risco exposto se esta prática recomendada não é estabelecida: médio
Orientação de implementação
Projete seus controles e padrões de acesso para reger o consumo de recursos compartilhados com segurança e somente com entidades confiáveis. Monitore recursos compartilhados e revise o acesso a eles de forma contínua e seja alertado sobre o compartilhamento inadequado ou inesperado. Leia Analisar o acesso público e entre contas para ajudar você a estabelecer a governança a fim de reduzir o acesso externo apenas aos recursos que precisem dele e estabelecer um processo para monitorar de forma contínua e alertar automaticamente.
O compartilhamento entre contas no AWS Organizations é compatível com uma série de serviços da AWS, como o AWS Security Hub, Amazon GuardDuty e o AWS Backup. Esses serviços possibilitam compartilhar os dados em uma conta central, acessá-los ou gerenciar recursos e dados dessa conta. Por exemplo, o AWS Security Hub pode transferir as descobertas de contas individuais para uma conta central onde é possível visualizar todas elas. O AWS Backup pode realizar um backup de um recurso e compartilhá-lo entre contas. É possível utilizar o AWS Resource Access Manager
Para restringir sua conta para somente compartilhar recursos em sua organização, utilize políticas de controle de serviços (SCPs) para impedir o acesso a entidades principais externas. Ao compartilhar recursos, combine controles baseados em identidade e controles de rede para criar um perímetro de dados para sua organização a fim de ajudar a proteger contra o acesso acidental. Um perímetro de dados é um conjunto de barreiras de proteção preventivas que ajudam a garantir que apenas suas identidades confiáveis acessem recursos confiáveis das redes esperadas. Esses controles impõem limites apropriados sobre quais recursos podem ser compartilhados e impedir o compartilhamento ou a exposição de recursos que não devem ser permitidos. Por exemplo, como parte de um perímetro de dados, é possível usar políticas de endpoint de VPC e a condição AWS:PrincipalOrgId
para garantir que as identidades que acessam seus buckets do Amazon S3 pertençam à sua organização. É importante observar que as SCPs não se aplicam a perfis vinculados a serviço (LSR) nem a entidades principais de serviços da AWS.
Ao utilizar o Amazon S3, desative as ACLs de seu bucket do Amazon S3 e utilize políticas do IAM para definir o controle de acesso. Para restringir o acesso a uma origem do Amazon S3 a partir do Amazon CloudFront
Em alguns casos, convém permitir o compartilhamento de recursos fora de sua organização ou conceder a terceiros acesso aos seus recursos. Para ter orientações prescritivas sobre o gerenciamento de permissões para compartilhar recursos externamente, consulte Gerenciamento de permissões.
Etapas da implementação
-
Utilize o AWS Organizations.
O AWS Organizations é um serviço de gerenciamento de contas que permite consolidar várias Contas da AWS em uma organização que você cria e gerencia centralmente. É possível agrupar suas contas em unidades organizacionais (UOs) e anexar políticas diferentes a cada UO a fim de ajudar a atender às suas necessidades orçamentárias, de segurança e conformidade. Também é possível controlar como serviços de inteligência artificial (IA) e machine learning (ML) da AWS podem coletar e armazenar dados e usar o gerenciamento de várias contas dos serviços da AWS integrados ao Organizations.
-
Integre o AWS Organizations aos serviços da AWS.
Ao ativar um serviço da AWS para realizar tarefas em seu nome nas contas membros de sua organização, o AWS Organizations cria um perfil vinculado a serviço do IAM para esse serviço em cada conta membro. Você deve gerenciar o acesso confiável usando o AWS Management Console, as APIs da AWS ou a AWS CLI. Para ter orientações prescritivas sobre como ativar o acesso confiável, consulte Usar o AWS Organizations com outros serviços da AWS e Serviços da AWS que podem ser usados com o Organizations.
-
Estabeleça um perímetro de dados.
O perímetro da AWS, geralmente, é representado como uma organização gerenciada pelo AWS Organizations. Junto com redes e sistemas on-premises, o acesso a recursos da AWS é o que muitos consideram o perímetro de My AWS. O objetivo do perímetro é garantir que o acesso seja permitido se a identidade e o recurso forem confiáveis e a rede for esperada.
-
Defina e implante os perímetros.
Siga as etapas descritas em Implementação do perímetro do whitepaper Criar um perímetro na AWS para cada condição de autorização. Para ter orientações prescritivas sobre como proteger a camada de rede, consulte Proteção de redes.
-
Monitore e alerte de forma contínua.
O AWS Identity and Access Management Access Analyzer ajuda a identificar os recursos na organização e nas contas que são compartilhados com entidades externas. É possível integrar o IAM Access Analyzer ao AWS Security Hub para enviar e agregar as descobertas para um recurso do IAM Access Analyzer para o Security Hub a fim de ajudar a analisar o procedimento de segurança de seu ambiente. Para ativar a integração, ative o IAM Access Analyzer e o Security Hub em cada região em cada conta. Também é possível utilizar o Regras do AWS Config para fazer auditoria da configuração e alertar a parte adequada utilizando o AWS Chatbot com o AWS Security Hub
. Depois, você pode utilizar Documentos de automação do AWS Systems Manager para corrigir os recursos sem conformidade. -
Para ter orientações prescritivas sobre como monitorar e alertar de forma contínua sobre recursos compartilhados externamente, consulte Analisar o acesso público e entre contas.
-
-
Utilize o compartilhamento de recursos em serviços da AWS e restrinja-o adequadamente.
Muitos serviços da AWS possibilitam compartilhar recursos com outra conta ou almejar um recurso em outra conta, como Imagens de máquina da Amazon (AMIs) e AWS Resource Access Manager (AWS RAM). Restrinja a API
ModifyImageAttribute
para especificar as contas confiáveis com as quais compartilhar a AMI. Especifique a condiçãoram:RequestedAllowsExternalPrincipals
ao utilizar o AWS RAM para restringir o compartilhamento somente à sua organização, a fim de ajudar a impedir o acesso de identidades não confiáveis. Para ter orientações prescritivas e considerações, consulte Compartilhamento de recursos e destinos externos. -
Utilize o AWS RAM para compartilhar com segurança em uma conta ou com outras Contas da AWS.
O AWS RAM
ajuda você a compartilhar com segurança os recursos criados com perfis e usuários em sua conta e com outras Contas da AWS. Em um ambiente de várias contas, o AWS RAM possibilita criar um recurso uma vez e compartilhá-lo com outras contas. Essa abordagem ajuda a reduzir sua sobrecarga operacional ao oferecer consistência, visibilidade e capacidade de auditoria por meio de integrações com o Amazon CloudWatch e o AWS CloudTrail, o que você não recebe ao utilizar o acesso entre contas. Se você tiver recursos compartilhados anteriormente com o uso de uma política baseada em recurso, é possível utilizar a API
PromoteResourceShareCreatedFromPolicy
ou equivalente a fim de promover o compartilhamento de recursos para um compartilhamento completo de recursos do AWS RAM.Em alguns casos, convém realizar etapas adicionais para compartilhar recursos. Por exemplo, para compartilhar um snapshot criptografado, é necessário compartilhar uma chave do AWS KMS.
Recursos
Práticas recomendadas relacionadas:
Documentos relacionados:
Vídeos relacionados:
Ferramentas relacionadas: