本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
SEC08-BP04 強制執行存取控制
若要協助保護您的靜態資料,使用隔離和版本控制等機制來強制存取控制,並套用最低權限原則。防止授予對您資料的公開存取權。
預期結果:確認只有授權使用者才能根據基準 need-to-know存取資料。透過定期備份和版本控制來保護您的資料以防有意或不慎修改或刪除資料。將重要資料與其他資料分離,以保護其機密性和資料完整性。
常見的反模式:
-
將具有不同敏感度需求或分類的資料儲存在一起。
-
對解密金鑰使用過於寬鬆的許可。
-
資料分類不當。
-
未保留重要資料的詳細備份。
-
對生產資料提供持續存取權。
-
未稽核資料存取或定期審查許可。
未建立此最佳實務時的曝險等級:低
實作指引
多項控制可協助您保護靜態資料,包括存取 (使用最低權限)、隔離和版本控制。對資料的存取應使用偵測機制進行稽核,例如 AWS CloudTrail、 和服務層級日誌,例如 Amazon Simple Storage Service (Amazon S3) 存取日誌。您應該清查哪些資料可公開存取,並建立計畫以隨著時間減少可用的資料量。
Amazon S3 Glacier Vault Lock 和 Amazon S3 Object Lock 為 Amazon S3 中的物件提供強制存取控制,一旦文件庫政策被合規選項鎖定,在鎖定過期之前,就連根使用者也無法變更。
實作步驟
-
強制存取控制:強制執行最低權限存取控制,包括對加密金鑰的存取。
-
根據不同的分類層級分離資料:針對資料分類層級使用不同的 AWS 帳戶 ,並使用 AWS Organizations 來管理這些帳戶。
-
檢閱 AWS Key Management Service (AWS KMS) 政策 :檢閱政策中授予的存取層級。 AWS KMS
-
審查 Amazon S3 儲存貯體和物件許可:定期審查 S3 儲存貯體政策中授予的存取層級。最佳實務是避免使用可公開讀取或寫入的儲存貯體。請考慮使用 AWS Config 來偵測可公開取得的儲存貯體,以及使用 Amazon CloudFront 來提供 Amazon S3 的內容。確認不允許公開存取的儲存貯體已正確設定為防止公開存取。依預設,所有 S3 儲存貯體皆為私有,只有明確獲得存取權的使用者才能存取。
-
使用 AWS IAM Access Analyzer :IAMAccess Analyzer 會分析 Amazon S3 儲存貯體,並在 S3 政策授予外部實體存取權時產生調查結果。
-
適當時,使用 Amazon S3 版本控制和物件鎖定。
-
使用 Amazon S3 庫存清單:Amazon S3 庫存清單可用來稽核和報告 S3 物件的複寫和加密狀態。
-
檢閱 Amazon EBS 和AMI共用許可:共用許可可以允許與工作負載 AWS 帳戶 外部的影像和磁碟區共用。
-
檢閱 AWS Resource Access Manager 定期共用以確定是否應該持續共用資源。Resource Access Manager 可讓您在 Amazon 內共用資源,例如 AWS Network Firewall 政策、Amazon Route 53 解析器規則和子網路VPCs。定期稽核共用的資源並停止共用不再需要共用的資源。
資源
相關的最佳實務:
相關文件:
相關影片: