SEC10-BP05 預先佈建存取權 - AWS Well-Architected 架構

SEC10-BP05 預先佈建存取權

確認事件回應者具有在 AWS 中預先佈建的正確存取權限,以縮短調查直至復原所需的時間。

常見的反模式:

  • 使用事件應變的根帳戶。

  • 更改現有的使用者帳戶。

  • 當提供即時權限提升時直接操控 IAM 許可。

若未建立此最佳實務,暴露的風險等級:

實作指引

AWS 建議盡可能降低或避免對長期憑證的依賴,而是採用臨時憑證和 即時 權限提升機制。長期憑證容易發生安全性風險並會增加營運負擔。對於大多數管理任務,以及事件應變任務,我們建議您實作 聯合身分 以及 適用於管理存取權的臨時權限提升。在此模型中,使用者會請求提升至較高層級的權限 (例如事件應變角色);如果使用者符合提升的資格,則會將請求傳送至核准者。如果請求獲得核准,使用者就會收到一組臨時 AWS 憑證 ,使用者可使用此憑證來完成其任務。在這些憑證過期後,使用者就必須提交新的提升權限請求。

我們建議在大多數事件應變情境中,使用臨時權限提升。正確的做法是使用 AWS Security Token Service工作階段政策 來界定存取權的範圍。

當發生聯合身分不可用的情況,例如

  • 與遭盜用身分提供者 (IdP) 相關的中斷。

  • 設定錯誤或人為錯誤會導致聯合存取管理系統遭到破壞。

  • 分散式阻斷服務 (DDoS) 事件或使系統無法使用之類的惡意活動。

在前述的案例中,應會有已設定的 緊急 存取權,可協助調查和及時修復事件。我們建議您使用 具有適當許可的 IAM 使用者, 來執行任務和存取 AWS 資源。僅將根憑證用於 需要根使用者存取權的任務。若要確認事件回應者是否具有 AWS 和其他相關系統的正確存取權,我們建議預先佈建專屬的使用者帳戶。該類使用者帳戶需要提升的存取權,且必須受到嚴格的控制和監控。必須以執行必要任務所需的最低權限來建置這些帳戶,而存取權層級應以事件管理計劃中建立的程序手冊為基礎。

使用專用和專屬的使用者及角色作為最佳實務。透過新增 IAM 政策而臨時提升權限的使用者和角色存取權,會同時使得使用者在事件發生期間的存取權不明確,又有無法將提升的權限撤銷的風險。

您必須盡可能移除相依性,來確認可在各種可能的失敗情境下獲得存取權。為了做到這一點,建立程序手冊來確認事件應變使用者的建立身分是專屬安全性帳戶中的 AWS Identity and Access Management 使用者,且不會透過任何現有的聯合或單一登入 (SSO) 解決方案來管理事件應變使用者。每個個別回應者必須具備其專屬的指定帳戶。帳戶組態必須強制執行 強式密碼政策 和多重要素驗證 (MFA)。如果事件應變程序手冊僅需要 AWS Management Console 的存取權,使用者就不應設定存取金鑰,且應明確禁止使用者建立存取金鑰。您可以使用 IAM 政策或服務控制政策 (SCP) 進行設定,如同 AWS Organizations SCP 的 AWS 安全性 最佳實務中所述。除了在其他帳戶中擔任事件應變角色的能力外,使用者不應具備任何權限。

在事件期間,必須將存取權授予其他內部或外部人員,來協助調查、修復和復原活動。在此案例中,使用先前提到的程序手冊機制,而且必須制定程序,以確認在事件完成後,立即將任何其他存取權撤回。

若要確認事件應變角色的使用是否受到適當的監控和稽核,則必須確保未在人員之間共用為此目的建立的 IAM 使用者帳戶,且除非特定任務所需,否則不得使用 AWS 帳戶 根使用者。如果需要根使用者 (例如,特定帳戶的 IAM 存取權不可用時),請使用獨立的程序,其中有可用的程序手冊,來確認根使用者密碼和 MFA 權杖是否可用。

若要為事件應變角色設定 IAM 政策,請考慮使用 IAM Access Analyzer 來根據 AWS CloudTrail 日誌產生政策。若要這麼做,請向管理員授予在非生產帳戶上事件應變角色的存取權,並透過程序手冊加以執行。完成後,您就可以建立政策來僅允許所採取的動作。接著就可以將此政策套用至所有帳戶中的所有事件應變角色。您可能希望為每個程序手冊建立個別 IAM 政策,來讓管理和稽核作業更輕鬆。範例程序手冊可能包含勒索軟體、資料洩漏、生產存取權遺失和其他情境的應變計劃。

使用事件應變使用者帳戶來擔任 在其他 AWS 帳戶 中專屬事件應變 IAM 角色。必須將這些角色設定為僅供安全性帳戶中的使用者擔任,而信任關係必須要求呼叫主體使用 MFA 進行驗證。這些角色必須使用嚴格控制範圍的 IAM 政策來控制存取權。確保所有對這些角色的 AssumeRole 請求都記錄在 CloudTrail 中並據以發出警示,而使用這些角色採取的任何動作都會記錄下來。

強烈建議必須清楚地命名 IAM 使用者帳戶和 IAM 角色,因此您可以輕鬆地在 CloudTrail 日誌中找到這些帳戶和角色。這類範例便是將 IAM 帳戶命名為 <USER_ID>-BREAK-GLASS 以及將 IAM 角色命名為 BREAK-GLASS-ROLE

CloudTrail 會用來在 AWS 帳戶中記錄 API 活動,且應用來 設定對事件應變角色使用情形的警示。請參閱部落格貼文,其中會說明使用根金鑰如何設定警示。您可以修改說明,以便針對以下事件設定 Amazon CloudWatch 指標篩選條件至篩選條件: AssumeRole 事件,該事件與事件應變 IAM 角色相關:

{ $.eventName = "AssumeRole" && $.requestParameters.roleArn = "<INCIDENT_RESPONSE_ROLE_ARN>" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }

由於事件應變角色可能具備很高的存取權限,因此必須將這些警示傳送給多個群組,並據此快速採取行動。

在事件期間,回應者可能需要存取未受 IAM 直接保護的系統。其中可能包含 Amazon Elastic Compute Cloud 執行個體、Amazon Relational Database Service 資料庫或軟體即服務 (SaaS) 平台。強烈建議使用此方法,而不是使用 SSH 或 RDP 等原生通訊協定,AWS Systems Manager Session Manager 會用於對 Amazon EC2 執行個體的所有管理存取權。您可以使用安全且受稽核的 IAM 來控制此存取權。 您也可以使用 AWS Systems Manager Run Command 文件 來自動化部分程序手冊,如此可減少使用者錯誤並縮短復原時間。如需資料庫和第三方工具的存取權,我們建議將存取憑證存放在 AWS Secrets Manager 中,並將存取權授予事件回應者角色。

最後,應將事件應變 IAM 使用者帳戶的管理作業新增至 加入者、異動者和離職者程序中, 並定期審查和測試此管理作業,以確認僅允許預期的存取。

資源

相關文件:

相關影片:

相關範例: