Condiciones de configuración incorrecta para usuarios de IAM

Remediación de exposiciones para usuarios de IAM

AWS Security Hub puede generar hallazgos de exposición para los usuarios AWS Identity and Access Management (IAM).

En la consola de Security Hub, el usuario de IAM involucrado en un resultado de exposición y su información de identificación se enumeran en la sección Recursos de los detalles del resultado. De forma programática, puede recuperar los detalles de los recursos con el GetFindingsV2funcionamiento de la API CSPM de Security Hub.

Después de identificar el recurso involucrado en un resultado de exposición, puede eliminar el recurso si no lo necesita. Eliminar un recurso no esencial puede reducir su perfil de exposición y sus costes. AWS Si el recurso es esencial, siga estos pasos de remediación recomendados para ayudar a mitigar el riesgo. Los temas de remediación se dividen según el tipo de condición.

Un único resultado de exposición puede incluir problemas identificados en varios temas de remediación. También es posible abordar un resultado de exposición y disminuir su nivel de gravedad con solo tratar uno de los temas de remediación. El enfoque de remediación adecuado depende de los requisitos y cargas de trabajo de la organización.

nota

La guía de remediación que se proporciona en este tema puede requerir consultas adicionales en otros AWS recursos.

Las prácticas recomendadas de IAM indican que es conveniente crear roles de IAM o usar federación con un proveedor de identidades para acceder a AWS con credenciales temporales en lugar de crear usuarios individuales de IAM. Si esa es una opción para la organización y el caso de uso, recomendamos cambiar a roles o federación en lugar de usar usuarios de IAM. Para obtener más información, consulte Usuarios de IAM en la Guía del usuario de IAM.

Contenido

Condiciones de configuración incorrecta para usuarios de IAM

Condiciones de configuración incorrecta para usuarios de IAM

Aquí se presentan condiciones de configuración incorrecta para usuarios de IAM y pasos de remediación sugeridos.

El usuario de IAM tiene una política con acceso administrativo

Las políticas de IAM otorgan un conjunto de privilegios a los usuarios de IAM al acceder a recursos. Las políticas administrativas proporcionan a los usuarios de IAM amplios permisos para acceder a los AWS servicios y recursos. Proporcionar privilegios administrativos completos, en lugar del conjunto mínimo de permisos que el usuario necesita, puede aumentar el alcance de un ataque si las credenciales se ven comprometidas. De acuerdo con los principios estándar de seguridad, AWS recomienda conceder privilegios mínimos, lo que significa otorgar únicamente los permisos necesarios para realizar una tarea.

Revisión e identificación de las políticas administrativas: en el ID de recurso, identifique el nombre del rol de IAM. Vaya al panel de IAM y seleccione el rol identificado. Revise la política de permisos asociada al usuario de IAM. Si la política es una política AWS gestionada, busque AdministratorAccess oIAMFullAccess. De lo contrario, en el documento de la política, busque declaraciones que tengan las declaraciones "Effect": "Allow" con "Action": "*" sobre "Resource": "*".
Implementación de acceso con privilegios mínimos: reemplace las políticas administrativas del servicio con aquellas que otorguen únicamente los permisos específicos que el usuario necesita para funcionar. Para obtener más información sobre las prácticas recomendadas de seguridad para políticas de IAM, consulte Aplicación de permisos de privilegios mínimos en la Guía del usuario de AWS Identity and Access Management . Para identificar permisos innecesarios, puede usar el Analizador de acceso de IAM y así entender cómo modificar la política en función del historial de acceso. Para obtener más información, consulte Resultados de acceso externo y no utilizado en la Guía del usuario de AWS Identity and Access Management .
Consideraciones de configuración segura: si los permisos administrativos del servicio son necesarios para la instancia, considere implementar estos controles de seguridad adicionales para mitigar el riesgo:
- Autenticación multifactor (MFA): MFA agrega una capa adicional de seguridad al requerir una forma adicional de autenticación. Esto ayuda a evitar accesos no autorizados incluso si las credenciales se ven comprometidas. Para obtener más información, consulte Requisito de autenticación multifactor (MFA) en la Guía del usuario de AWS Identity and Access Management .
- Condiciones de IAM: la configuración de elementos de condición permite restringir cuándo y cómo se pueden usar permisos administrativos en función de factores como la dirección IP de origen o la antigüedad del MFA. Para obtener más información, consulte Uso de condiciones en políticas de IAM para restringir aún más el acceso en la Guía del usuario de AWS Identity and Access Management .
- Límites de permisos: los límites de permisos establecen los permisos máximos que un rol puede tener, con barreras de protección para roles con acceso administrativo. Para obtener más información, consulte Uso de límites de permisos para delegar la administración de permisos dentro de una cuenta en la Guía del usuario de AWS Identity and Access Management .

El usuario de IAM no tiene MFA habilitado

La autenticación multifactor (MFA) agrega una capa adicional de protección además del nombre de usuario y la contraseña. Cuando la MFA está habilitada y un usuario de IAM inicia sesión en un AWS sitio web, se le solicita su nombre de usuario, contraseña y un código de autenticación de su dispositivo de AWS MFA. La entidad de autenticación debe poseer un dispositivo que emita una clave sujeta a limitación temporal y debe tener conocimiento de una credencial. Sin la MFA, si la contraseña de un usuario se ve comprometida, el atacante obtiene acceso total a los permisos del AWS usuario. Siguiendo los principios de seguridad estándar, AWS recomienda habilitar la MFA para todas las cuentas y usuarios que tengan Consola de administración de AWS acceso.

Revisión de tipos de MFA

AWS admite los siguientes tipos de MFA:

Claves de acceso y claves de seguridad
Aplicaciones de autenticador virtual
Tokens TOTP físicos

Aunque la autenticación con un dispositivo físico normalmente proporciona una protección de seguridad más estricta, usar cualquier tipo de MFA es más seguro que tener MFA desactivado.

Habilitar MFA

Para habilitar el tipo de MFA que se ajuste a sus requisitos, consulte Autenticación multifactor de AWS en IAM en la Guía del usuario de IAM. Siga los pasos correspondientes al tipo específico de MFA que desea implementar. Para organizaciones que administran muchos usuarios, quizá desee imponer el uso de MFA y exigir MFA para acceder a recursos sensibles.

El usuario de IAM tiene una política con acceso administrativo a un Servicio de AWS

Las políticas de administración del servicio proporcionan a los usuarios de IAM permisos para realizar todas las acciones dentro de un servicio específico AWS . Estas políticas normalmente incluyen permisos que no son necesarios para que los usuarios realicen sus funciones laborales. Proporcionar a un usuario de IAM privilegios de administrador del servicio, en lugar del conjunto mínimo de permisos necesarios, aumenta el alcance de un ataque si las credenciales se ven comprometidas. De acuerdo con los principios estándar de seguridad, AWS recomienda conceder privilegios mínimos, lo que significa otorgar únicamente los permisos necesarios para realizar una tarea.

Revisión e identificación de las políticas administrativas del servicio

En el ID de recurso, identifique el nombre del rol de IAM. Vaya al panel de IAM y seleccione el rol identificado. Revise la política de permisos asociada al usuario de IAM. Si la política es una política administrada de AWS, busque AdministratorAccess o IAMFullAccess. De lo contrario, en el documento de la política, busque declaraciones que tengan las declaraciones Effect": "Allow" with "Action": "*" over "Resource": "*".

Implementación del acceso a los privilegios mínimos

Reemplace las políticas administrativas del servicio con aquellas que otorguen únicamente los permisos específicos que el usuario necesita para funcionar. Para identificar permisos innecesarios, puede usar el Analizador de acceso de IAM y así entender cómo modificar la política en función del historial de acceso.

Consideraciones para configuraciones seguras

Si los permisos administrativos del servicio son necesarios para la instancia, considere implementar estos controles de seguridad adicionales para mitigar la exposición:

MFA agrega una capa adicional de seguridad al requerir una forma adicional de autenticación. Esto ayuda a evitar accesos no autorizados incluso si las credenciales se ven comprometidas.
Utilice elementos de condición para restringir cuándo y cómo se pueden usar los permisos administrativos según factores como la dirección IP de origen o la antigüedad de la MFA.
Utilice límites de permisos para establecer los permisos máximos que un rol puede tener, con barreras de protección para roles con acceso administrativo.

La AWS cuenta del usuario de IAM tiene políticas de contraseñas poco seguras

Las políticas de contraseñas ayudan a proteger contra accesos no autorizados mediante la aplicación obligatoria de requisitos mínimos de complejidad para las contraseñas de usuarios de IAM. Sin políticas de contraseñas sólidas, aumenta el riesgo de que las cuentas de usuario se vean comprometidas mediante adivinación de contraseñas o ataques de fuerza bruta. Siguiendo los principios de seguridad estándar, AWS recomienda implementar una política de contraseñas segura para garantizar que los usuarios creen contraseñas complejas que sean difíciles de adivinar.

Configuración de una política de contraseñas sólida

Vaya al panel de IAM y diríjase a la sección de configuración de la cuenta. Revise la configuración actual de la política de contraseñas de la cuenta, lo que incluye la longitud mínima, los tipos de caracteres requeridos y los parámetros de expiración de contraseñas.

Como mínimo, AWS recomienda seguir estas prácticas recomendadas a la hora de configurar la política de contraseñas:

Exija al menos un carácter en mayúscula.
Exija al menos un carácter en minúscula.
Exija al menos un símbolo.
Exija al menos un número
Exija al menos ocho caracteres.

Consideraciones adicionales de seguridad

Considere estas medidas de seguridad adicionales además de una política de contraseñas sólida:

MFA agrega una capa adicional de seguridad al requerir una forma adicional de autenticación. Esto ayuda a evitar accesos no autorizados incluso si las credenciales se ven comprometidas.
Configuración de elementos de condición para restringir cuándo y cómo se pueden utilizar los permisos administrativos según factores como la dirección IP de origen o la antigüedad de la MFA.

El usuario de IAM tiene credenciales sin usar

Las credenciales no utilizadas, incluidas las contraseñas y las claves de acceso que hayan permanecido inactivas durante 90 días o más, representan un riesgo de seguridad para su AWS entorno. Estas credenciales sin usar crean vectores de ataque potenciales para los atacantes y aumentan la superficie expuesta a ataques general de la organización. Siguiendo las prácticas recomendadas de seguridad, AWS recomienda desactivar o eliminar las credenciales que no se hayan utilizado durante 90 días o más para reducir la superficie de ataque.

Desactivación o eliminación de credenciales sin usar

En el resultado de exposición, abra el recurso. Esto abrirá la ventana con los detalles del usuario. Antes de tomar medidas con respecto a las credenciales no utilizadas, evalúe el posible impacto en el entorno. Eliminar credenciales sin una evaluación adecuada podría interrumpir procesos en segundo plano, tareas programadas y otros elementos del sistema. Considere un breve período de desactivación antes de eliminarlas de forma permanente, con el fin de verificar el impacto de retirar las credenciales no utilizadas.

Tome la acción correspondiente según el tipo de credencial:

En el caso de contraseñas de consola no utilizadas, considere primero cambiar la contraseña y desactivarla temporalmente. Si no se presentan problemas, proceda con la desactivación o eliminación permanente.
En el caso de claves de acceso no utilizadas, considere primero desactivar la clave. Después de confirmar que ningún sistema se ve afectado, proceda con la desactivación o eliminación permanente.
En el caso de usuarios no utilizados, considere desactivarlos temporalmente mediante la asociación de una política restrictiva antes de realizar la eliminación completa.

El usuario de IAM tiene claves de acceso que no se han rotado

Las claves de acceso constan de un identificador de clave de acceso y una clave de acceso secreta que permiten el acceso programático a los AWS recursos. Cuando las claves de acceso permanecen sin cambios durante periodos prolongados, aumentan el riesgo de acceso no autorizado si llegan a verse comprometidas. Siguiendo las mejores prácticas de seguridad, AWS recomienda rotar las claves de acceso cada 90 días para minimizar las oportunidades de que los atacantes utilicen credenciales comprometidas.

Rotación de las claves de acceso

En el resultado de exposición, abra el recurso. Esto abrirá la ventana con los detalles del usuario. Para rotar claves de acceso, consulte Administración de claves de acceso para usuarios de IAM en la Guía del usuario de IAM.

El usuario de IAM tiene una política que permite acceso sin restricciones al descifrado de claves de KMS

AWS KMS le permite crear y administrar las claves criptográficas que se utilizan para proteger sus datos. Las políticas de IAM que permiten permisos de AWS KMS descifrado ilimitados (por ejemplo, kms:Decrypt okms:ReEncryptFrom) sobre todas las claves de KMS pueden provocar el acceso no autorizado a los datos si las credenciales de un usuario de IAM se ven comprometidas. Si un atacante obtiene acceso a estas credenciales, podría descifrar cualquier dato cifrado en el entorno, lo que podría incluir información confidencial. Siguiendo las prácticas recomendadas de seguridad, AWS recomienda implementar los privilegios mínimos limitando los permisos de AWS KMS descifrado únicamente a las claves específicas que los usuarios necesitan para sus funciones laborales.

Implementación del acceso a los privilegios mínimos

En el resultado de exposición, abra el recurso. Esto abrirá la ventana de políticas de IAM. Busque permisos en KMS que permitan kms: desencriptar kms:ReEncryptFrom o KMS:* con una especificación de recursos de. "*" Actualice la política para restringir los permisos AWS KMS de descifrado únicamente a las claves específicas necesarias. Modifique la política para reemplazar el "*" recurso por la AWS KMS clave específica ARNs requerida.

Consideraciones para configuraciones seguras

Considere agregar condiciones para restringir aún más cuándo se pueden utilizar estos permisos. Por ejemplo, puede limitar las operaciones de descifrado a puntos de conexión de VPC específicos o a intervalos concretos de direcciones IP de origen. También puede configurar políticas de claves para restringir aún más quién puede utilizar claves específicas de KMS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Remediación de exposiciones para clústeres de Amazon EKS

Remediación de exposiciones para funciones de Lambda