Behebung von Risiken für IAM-Benutzer - AWS Security Hub
Merkmale von Fehlkonfigurationen für IAM-Benutzer

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Behebung von Risiken für IAM-Benutzer

AWS Security Hub kann Ergebnisse zur Gefährdung von AWS Identity and Access Management (IAM) -Benutzern generieren.

Auf der Security Hub Hub-Konsole werden der IAM-Benutzer, der an einer Risikofeststellung beteiligt war, und seine identifizierenden Informationen im Abschnitt Ressourcen der Ergebnisdetails aufgeführt. Programmgesteuert können Sie Ressourcendetails mithilfe der GetFindingsV2Security Hub CSPM-API abrufen.

Nachdem Sie die Ressource identifiziert haben, die an einer Risikofeststellung beteiligt war, können Sie die Ressource löschen, falls Sie sie nicht benötigen. Durch das Löschen einer nicht benötigten Ressource können Sie Ihr Expositionsprofil und Ihre AWS Kosten reduzieren. Wenn es sich bei der Ressource um eine wichtige Ressource handelt, befolgen Sie diese empfohlenen Abhilfemaßnahmen, um das Risiko zu minimieren. Die Themen zur Problembehebung sind nach der Art des Merkmals unterteilt.

Ein einzelnes Problembehebungsergebnis umfasst Probleme, die in mehreren Problembehebungsthemen identifiziert wurden. Umgekehrt können Sie mit einem Problembehebungsproblem umgehen und dessen Schweregrad verringern, indem Sie sich mit nur einem Problembehebungsthema befassen. Ihr Ansatz zur Risikominderung hängt von den Anforderungen und der Arbeitsbelastung Ihres Unternehmens ab.

Anmerkung

Die in diesem Thema enthaltenen Hinweise zur Problembehebung erfordern möglicherweise zusätzliche Informationen in anderen Ressourcen. AWS

Bewährte IAM-Methoden empfehlen, IAM-Rollen zu erstellen oder einen Verbund mit einem Identitätsanbieter für den Zugriff mit temporären Anmeldeinformationen zu AWS verwenden, anstatt einzelne IAM-Benutzer zu erstellen. Wenn dies für Ihre Organisation und Ihren Anwendungsfall eine Option ist, empfehlen wir, statt IAM-Benutzer zu verwenden, zu Rollen oder einem Verbund zu wechseln. Weitere Informationen finden Sie unter IAM-Benutzer im IAM-Benutzerhandbuch.

Merkmale von Fehlkonfigurationen für IAM-Benutzer

Im Folgenden finden Sie Merkmale von Fehlkonfigurationen für IAM-Benutzer und empfohlene Schritte zur Behebung.

Der IAM-Benutzer hat eine Richtlinie mit Administratorzugriff

IAM-Richtlinien gewähren IAM-Benutzern eine Reihe von Rechten beim Zugriff auf Ressourcen. Verwaltungsrichtlinien gewähren IAM-Benutzern umfassende Berechtigungen für AWS Dienste und Ressourcen. Die Bereitstellung vollständiger Administratorrechte anstelle der Mindestberechtigungen, die der Benutzer benötigt, kann das Ausmaß eines Angriffs erhöhen, wenn Anmeldeinformationen kompromittiert werden. Gemäß den Standardsicherheitsprinzipien AWS empfiehlt es sich, die geringsten Rechte zu gewähren, d. h., dass Sie nur die Berechtigungen gewähren, die für die Ausführung einer Aufgabe erforderlich sind.

  1. Überprüfen und identifizieren Sie die Verwaltungsrichtlinien — Geben Sie in der Ressourcen-ID den Namen der IAM-Rolle an. Gehen Sie zum IAM-Dashboard und wählen Sie die identifizierte Rolle aus. Überprüfen Sie die dem IAM-Benutzer zugeordnete Berechtigungsrichtlinie. Wenn es sich bei der Richtlinie um eine AWS verwaltete Richtlinie handelt, suchen Sie nach AdministratorAccess oderIAMFullAccess. Andernfalls suchen Sie im Richtliniendokument nach Aussagen, in denen die Aussagen "Effect": "Allow" mit "Action": "*" über stehen"Resource": "*".

  2. Implementieren Sie den geringsten Zugriff — Ersetzen Sie die Verwaltungsrichtlinien für Dienste durch solche, die nur die spezifischen Berechtigungen gewähren, die der Benutzer benötigt, um zu funktionieren. Weitere Informationen zu bewährten Sicherheitsmethoden für IAM-Richtlinien finden Sie im Benutzerhandbuch unter Anwenden von Berechtigungen mit den geringsten Rechten.AWS Identity and Access Management Um unnötige Berechtigungen zu identifizieren, können Sie den IAM Access Analyzer verwenden, um zu verstehen, wie Sie Ihre Richtlinie auf der Grundlage des Zugriffsverlaufs ändern können. Weitere Informationen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Ergebnisse für externen und ungenutzten Zugriff.

  3. Überlegungen zur sicheren Konfiguration — Wenn Dienstadministratorrechte für die Instanz erforderlich sind, sollten Sie die Implementierung dieser zusätzlichen Sicherheitskontrollen in Betracht ziehen, um das Risiko zu minimieren:

    • Multi-Faktor-Authentifizierung (MFA) — MFA fügt eine zusätzliche Sicherheitsebene hinzu, da eine zusätzliche Form der Authentifizierung erforderlich ist. Dies hilft, unbefugten Zugriff zu verhindern, selbst wenn Anmeldeinformationen kompromittiert werden. Weitere Informationen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Multi-Faktor-Authentifizierung (MFA) erforderlich.

    • IAM-Bedingungen — Durch die Einrichtung von Bedingungselementen können Sie anhand von Faktoren wie Quell-IP oder MFA-Alter einschränken, wann und wie Administratorberechtigungen verwendet werden können. Weitere Informationen finden Sie im Benutzerhandbuch unter Verwenden von Bedingungen in IAM-Richtlinien, um den Zugriff weiter einzuschränken.AWS Identity and Access Management

    • Berechtigungsgrenzen — Berechtigungsgrenzen legen die maximale Anzahl von Berechtigungen fest, die eine Rolle haben kann, und bieten so Richtlinien für Rollen mit Administratorzugriff. Weitere Informationen finden Sie im Benutzerhandbuch unter Verwenden von Berechtigungsgrenzen, um die Rechteverwaltung innerhalb eines Kontos zu delegieren.AWS Identity and Access Management

Der IAM-Benutzer hat MFA nicht aktiviert

Multi-Factor Authentication (MFA) bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Wenn MFA aktiviert ist und sich ein IAM-Benutzer auf einer AWS Website anmeldet, wird er aufgefordert, seinen Benutzernamen, sein Passwort und einen Authentifizierungscode von seinem AWS MFA-Gerät einzugeben. Der authentifizierende Prinzipal muss über ein Gerät verfügen, das einen zeitkritischen Schlüssel ausgibt und Kenntnisse über Anmeldeinformationen haben muss. Ohne MFA erhält ein Angreifer vollen Zugriff auf die Benutzerberechtigungen, wenn das Passwort eines Benutzers AWS kompromittiert wird. Gemäß den Standardsicherheitsprinzipien wird AWS empfohlen, MFA für alle Konten und Benutzer zu aktivieren, die AWS-Managementkonsole Zugriff haben.

Überprüfen Sie die MFA-Typen

AWS unterstützt die folgenden MFA-Typen:

  • Passkeys und Sicherheitsschlüssel

  • Anwendungen für virtuelle Authentifikatoren

  • Hardware-TOTP-Token

Obwohl die Authentifizierung mit einem physischen Gerät in der Regel einen strengeren Sicherheitsschutz bietet, ist die Verwendung einer beliebigen Art von MFA sicherer als die Deaktivierung von MFA.

MFA aktivieren

Informationen zur Aktivierung des MFA-Typs, der Ihren Anforderungen entspricht, finden Sie unter AWS Multi-Faktor-Authentifizierung in IAM im IAM-Benutzerhandbuch. Folgen Sie den Schritten für den spezifischen MFA-Typ, den Sie implementieren möchten. Für Organisationen, die viele Benutzer verwalten, möchten Sie möglicherweise die Verwendung von MFA erzwingen, indem Sie verlangen, dass MFA auf sensible Ressourcen zugreift.

Der IAM-Benutzer verfügt über eine Richtlinie mit Administratorzugriff auf AWS-Service

Die Richtlinien für Dienstadministratoren gewähren IAM-Benutzern die Berechtigung, alle Aktionen innerhalb eines bestimmten AWS Dienstes auszuführen. Diese Richtlinien beinhalten in der Regel Berechtigungen, die Benutzer nicht benötigen, um ihre Aufgaben auszuführen. Wenn einem IAM-Benutzer Dienstadministratorrechte anstelle der erforderlichen Mindestberechtigungen zur Verfügung gestellt werden, erhöht sich das Ausmaß eines Angriffs, wenn Anmeldeinformationen kompromittiert werden. Gemäß den Standardsicherheitsprinzipien AWS empfiehlt es sich, die geringsten Rechte zu gewähren, d. h., dass Sie nur die Berechtigungen gewähren, die für die Ausführung einer Aufgabe erforderlich sind.

Überprüfen und identifizieren Sie die Richtlinien für Dienstadministratoren

Identifizieren Sie in der Ressourcen-ID den Namen der IAM-Rolle. Gehen Sie zum IAM-Dashboard und wählen Sie die identifizierte Rolle aus. Überprüfen Sie die dem IAM-Benutzer zugeordnete Berechtigungsrichtlinie. Wenn es sich bei der Richtlinie um eine von AWS verwaltete Richtlinie handelt, suchen Sie nach AdministratorAccess oderIAMFullAccess. Andernfalls suchen Sie im Richtliniendokument nach Aussagen, die die Aussagen "enthaltenEffect": "Allow" with "Action": "*" over "Resource": "*".

Implementieren des Zugriffs mit geringsten Berechtigungen

Ersetzen Sie die Verwaltungsrichtlinien für Dienste durch solche, die nur die spezifischen Berechtigungen gewähren, die für die Funktion des Benutzers erforderlich sind. Um unnötige Berechtigungen zu identifizieren, können Sie den IAM Access Analyzer verwenden, um zu verstehen, wie Sie Ihre Richtlinie auf der Grundlage des Zugriffsverlaufs ändern können.

Überlegungen zur sicheren Konfiguration

Wenn für die Instanz Administratorberechtigungen des Dienstes erforderlich sind, sollten Sie die Implementierung dieser zusätzlichen Sicherheitskontrollen in Betracht ziehen, um das Risiko zu verringern:

  • MFA fügt eine zusätzliche Sicherheitsebene hinzu, indem es eine zusätzliche Form der Authentifizierung erfordert. Dies hilft, unbefugten Zugriff zu verhindern, selbst wenn Anmeldeinformationen kompromittiert werden.

  • Verwenden Sie Bedingungselemente, um anhand von Faktoren wie Quell-IP oder MFA-Alter einzuschränken, wann und wie Administratorberechtigungen verwendet werden können.

  • Verwenden Sie Berechtigungsgrenzen, um die maximale Anzahl an Berechtigungen festzulegen, die eine Rolle haben kann, und geben Sie so Richtlinien für Rollen mit Administratorzugriff.

Das AWS Konto für den IAM-Benutzer hat schwache Passwortrichtlinien

Passwortrichtlinien tragen zum Schutz vor unbefugtem Zugriff bei, indem sie Mindestanforderungen an die Komplexität von IAM-Benutzerkennwörtern durchsetzen. Ohne strenge Passwortrichtlinien besteht ein erhöhtes Risiko, dass Benutzerkonten durch das Erraten von Passwörtern oder Brute-Force-Angriffe gefährdet werden könnten. Gemäß den üblichen Sicherheitsprinzipien AWS empfiehlt es, eine sichere Passwortrichtlinie zu implementieren, um sicherzustellen, dass Benutzer komplexe Passwörter erstellen, die schwer zu erraten sind.

Konfigurieren Sie eine sichere Kennwortrichtlinie

Gehen Sie zum IAM-Dashboard und navigieren Sie zu den Kontoeinstellungen. Prüfen Sie die aktuellen Passwortrichtlinien für Ihr Konto, einschließlich der Mindestlänge, der erforderlichen Zeichentypen und der Einstellungen für das Ablaufen von Passwörtern.

Es wird AWS empfohlen, bei der Festlegung Ihrer Passwortrichtlinie mindestens die folgenden bewährten Methoden zu befolgen:

  • Erfordert mindestens einen Großbuchstaben.

  • Erfordert mindestens einen Kleinbuchstaben.

  • Erfordert mindestens ein Symbol.

  • Erfordert mindestens eine Zahl.

  • Erfordert mindestens acht Zeichen.

Zusätzliche Sicherheitsüberlegungen

Ziehen Sie zusätzlich zu einer strengen Passwortrichtlinie die folgenden zusätzlichen Sicherheitsmaßnahmen in Betracht:

  • MFA fügt eine zusätzliche Sicherheitsebene hinzu, indem es eine zusätzliche Form der Authentifizierung erfordert. Dies hilft, unbefugten Zugriff zu verhindern, selbst wenn Anmeldeinformationen kompromittiert werden.

  • Einrichtung von Bedingungselementen, um einzuschränken, wann und wie Administratorberechtigungen verwendet werden können, basierend auf Faktoren wie Quell-IP oder MFA-Alter.

Der IAM-Benutzer hat unbenutzte Anmeldeinformationen

Unbenutzte Anmeldeinformationen, einschließlich Kennwörter und Zugriffsschlüssel, die 90 Tage oder länger inaktiv geblieben sind, stellen ein Sicherheitsrisiko für Ihre AWS Umgebung dar. Diese ungenutzten Anmeldeinformationen stellen potenzielle Angriffsvektoren für Angreifer dar und vergrößern die Gesamtangriffsfläche Ihres Unternehmens. Um Ihre Angriffsfläche zu verringern, AWS empfiehlt es sich, Anmeldeinformationen, die seit 90 Tagen oder länger nicht verwendet wurden, zu deaktivieren oder zu entfernen, um die Angriffsfläche zu verringern.

Deaktivieren oder entfernen Sie ungenutzte Anmeldeinformationen

Öffnen Sie im Expositionsnachweis die Ressource. Dadurch wird das Fenster mit den Benutzerdetails geöffnet. Bevor Sie Maßnahmen in Bezug auf ungenutzte Anmeldeinformationen ergreifen, sollten Sie die möglichen Auswirkungen auf Ihre Umgebung abschätzen. Das Entfernen von Anmeldeinformationen ohne angemessene Prüfung kann zu Störungen bei Hintergrundprozessen, geplanten Aufträgen und vielem mehr führen. Ziehen Sie vor dem endgültigen Löschen eine kurze Deaktivierungszeit in Betracht, um zu überprüfen, welche Auswirkungen das Entfernen der ungenutzten Anmeldeinformationen hat.

Ergreifen Sie je nach Anmeldeinformationstyp die entsprechende Maßnahme:

  • Bei unbenutzten Konsolenkennwörtern sollten Sie zunächst das Passwort ändern und es vorübergehend deaktivieren. Wenn keine Probleme auftreten, fahren Sie mit der dauerhaften Deaktivierung oder Löschung fort.

  • Bei ungenutzten Zugangsschlüsseln sollten Sie zunächst die Deaktivierung des Schlüssels in Betracht ziehen. Nachdem Sie bestätigt haben, dass keine Systeme betroffen sind, fahren Sie mit der dauerhaften Deaktivierung oder Löschung fort.

  • Bei ungenutzten Benutzern sollten Sie erwägen, den Benutzer vorübergehend zu deaktivieren, indem Sie eine restriktive Richtlinie anhängen, bevor Sie ihn vollständig löschen.

Der IAM-Benutzer hat ungerichtete Zugriffsschlüssel

Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel, die den programmatischen Zugriff auf Ressourcen ermöglichen. AWS Wenn Zugriffsschlüssel über einen längeren Zeitraum unverändert bleiben, erhöhen sie das Risiko eines unbefugten Zugriffs, wenn sie kompromittiert werden. Gemäß den bewährten Sicherheitsmethoden AWS empfiehlt es sich, die Zugangsschlüssel alle 90 Tage zu wechseln, um das Zeitfenster zu minimieren, in dem Angreifer kompromittierte Anmeldeinformationen verwenden können.

Zugriffstasten rotieren

Öffnen Sie im Expositionsnachweis die Ressource. Dadurch wird das Fenster mit den Benutzerdetails geöffnet. Informationen zur Rotation von Zugriffsschlüsseln finden Sie unter Zugriffsschlüssel für IAM-Benutzer verwalten im IAM-Benutzerhandbuch.

Der IAM-Benutzer verfügt über eine Richtlinie, die uneingeschränkten Zugriff auf die Entschlüsselung von KMS-Schlüsseln ermöglicht

AWS KMS ermöglicht es Ihnen, kryptografische Schlüssel zu erstellen und zu verwalten, die zum Schutz Ihrer Daten verwendet werden. IAM-Richtlinien, die uneingeschränkte AWS KMS Entschlüsselungsberechtigungen (z. B. kms:Decrypt oderkms:ReEncryptFrom) für alle KMS-Schlüssel zulassen, können zu unberechtigtem Datenzugriff führen, wenn die Anmeldeinformationen eines IAM-Benutzers kompromittiert werden. Wenn sich ein Angreifer Zugriff auf diese Anmeldeinformationen verschafft, könnte er möglicherweise alle verschlüsselten Daten in Ihrer Umgebung entschlüsseln, zu denen auch vertrauliche Daten gehören könnten. Gemäß den bewährten Sicherheitsmethoden AWS empfiehlt es sich, die Implementierung der geringsten Rechte zu implementieren, indem die AWS KMS Entschlüsselungsberechtigungen auf bestimmte Schlüssel beschränkt werden, die Benutzer für ihre Aufgaben benötigen.

Implementieren der geringstmöglichen Zugriffsrechte

Öffnen Sie in der Expositionsanalyse die Ressource. Dadurch wird das Fenster mit den IAM-Richtlinien geöffnet. Suchen Sie in KMS nach Berechtigungen, die kms: Decrypt oder kms:ReEncryptFrom oder KMS:* mit der Ressourcenspezifikation von zulassen. "*" Aktualisieren Sie die Richtlinie, um die AWS KMS Entschlüsselungsberechtigungen auf die jeweils benötigten Schlüssel zu beschränken. Ändern Sie die Richtlinie, um die "*" Ressource durch die spezifischen erforderlichen AWS KMS Schlüssel ARNs zu ersetzen.

Überlegungen zur sicheren Konfiguration

Erwägen Sie, Bedingungen hinzuzufügen, um weiter einzuschränken, wann diese Berechtigungen verwendet werden können. Sie können beispielsweise Entschlüsselungsvorgänge auf bestimmte VPC-Endpunkte oder Quell-IP-Bereiche beschränken. Sie können auch Schlüsselrichtlinien konfigurieren, um weiter einzuschränken, wer bestimmte KMS-Schlüssel verwenden kann.