Alterações que introduzem riscos de segurança altos ou muito altos em seu ambiente - Guia do usuário do AMS Accelerate

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Alterações que introduzem riscos de segurança altos ou muito altos em seu ambiente

As alterações a seguir introduzem um risco de segurança alto ou muito alto em seu ambiente:

AWS Identity and Access Management

  • High_Risk-IAM-001: Crie chaves de acesso para a conta root

  • High_Risk-IAM-002: modificação da política de SCP para permitir acesso adicional

  • High_Risk-IAM-003: Modificação da política de SCP que pode quebrar a infraestrutura do AMS

  • High_Risk-IAM-004: Criação de um role/user com permissões de mutação de infraestrutura (gravação, gerenciamento de permissões ou marcação) na conta do cliente

  • High_Risk-IAM-005: as funções do IAM confiam nas políticas entre contas do AMS e contas de terceiros (não pertencentes ao cliente)

  • High_risk-IAM-006: políticas entre contas para acessar qualquer chave KMS de uma conta AMS por uma conta de terceiros)

  • High_Risk-IAM-007: políticas entre contas de terceiros para acessar um bucket S3 de um cliente AMS ou recursos nos quais os dados podem ser armazenados (como Amazon RDS, Amazon DynamoDB ou Amazon Redshift)

  • High_risk-IAM-008: atribua as permissões do IAM com qualquer permissão de mutação de infraestrutura na conta do cliente

  • High_Risk-IAM-009: Permitir a listagem e a leitura de todos os buckets S3 na conta

Segurança de rede

  • High_Risk-Net-001: portas abertas de gerenciamento de sistema operacional SSH/22 ou SSH/2222 (não SFTP/2222), TELNET/23, RDP/3389, WinRM/5985-5986, VNC/ 5900-5901 TS/CITRIX/1494 ou 1604, LDAP/389 ou 636 e NETBIOS/137-139 da Internet

  • High_Risk-Net-002: Abra as portas de gerenciamento de banco de dados MySQL/3306, PostgreSQL/5432, Oracle/1521, MSSQL/1433 ou qualquer porta de gerenciamento do cliente a partir da Internet

  • High_Risk-Net-003: abra as portas do aplicativo HTTP/80, HTTPS/8443 e HTTPS/443 diretamente em qualquer recurso computacional. Por exemplo, EC2 instâncias, ECS/EKS/Fargate contêineres etc. da Internet

  • High_Risk-Net-004: Qualquer alteração nos grupos de segurança que controlam o acesso à infraestrutura do AMS

  • High_Risk-Net-006: emparelhamento de VPC com a conta de terceiros (não de propriedade do cliente)

  • High_Risk-Net-007: Adicionando o firewall do cliente como ponto de saída para todo o tráfego do AMS

  • High_Risk-Net-008: A conexão do Transit Gateway com a conta de terceiros não é permitida

  • High_Risk-S3-001: Provisione ou habilite o acesso público no bucket do S3

Registro em log

  • High_Risk-log-001: Desativar. CloudTrail

  • High_risk-log-002: desative os registros de fluxo da VPC.

  • High_risk-log-003: encaminhamento de registros por meio de qualquer método (notificação de evento do S3, extração do agente SIEM, envio do agente do SIEM etc.) de uma conta gerenciada do AMS para uma conta de terceiros (não pertencente ao cliente)

  • High_Risk-log-004: Use uma trilha não AMS para CloudTrail

Diversos

  • High_Risk-ENC-001: Desative a criptografia em qualquer recurso se ela estiver ativada