Restringir privilégios administrativos

Controle Essential Eight	Orientação para implementação	AWS recursos	AWS Orientação do Well-Architected
As solicitações de acesso privilegiado a sistemas e aplicações são validadas quando solicitadas pela primeira vez.	Tema 4: gerenciar identidades: implemente a federação de identidades	Exija que os usuários humanos usem a federação com um provedor de identidades para acessar a AWS usando credenciais temporárias	SEC02- BP04 Confie em um provedor de identidade centralizado SEC03- BP01 Definir os requisitos de acesso
O acesso privilegiado a sistemas e aplicações é automaticamente desabilitado após 12 meses, a menos que seja revalidado.	Tema 4: gerenciar identidades: implemente a federação de identidades	Exija que os usuários humanos usem a federação com um provedor de identidades para acessar a AWS usando credenciais temporárias	SEC02- BP04 Confie em um provedor de identidade centralizado
	Tema 4: gerenciar identidades: alterne credenciais	Exija que as cargas de trabalho usem funções do IAM para acessar AWS Automatize a exclusão de perfis do IAM não utilizados Alterne as chaves de acesso regularmente para casos de uso que exijam credenciais de longo prazo AWS Summit ANZ 2023: Sua jornada para credenciais temporárias na nuvem (vídeo) YouTube	SEC02- BP05 Audite e alterne as credenciais periodicamente
O acesso privilegiado a sistemas e aplicações é automaticamente desabilitado após 45 dias de inatividade.	Tema 4: gerenciar identidades: implemente a federação de identidades Tema 4: gerenciar identidades: alterne credenciais	Exija que os usuários humanos se federem com um provedor de identidade para acessar AWS usando credenciais temporárias Exija que as cargas de trabalho usem funções do IAM para acessar AWS Automatize a exclusão de perfis do IAM não utilizados Alterne as chaves de acesso regularmente para casos de uso que exijam credenciais de longo prazo AWS Summit ANZ 2023: Sua jornada para credenciais temporárias na nuvem (vídeo) YouTube	SEC02- BP04 Confie em um provedor de identidade centralizado SEC02- BP05 Audite e alterne as credenciais periodicamente
O acesso privilegiado a sistemas e aplicações é limitado apenas ao necessário para que usuários e serviços realizem suas tarefas.	Tema 4: gerenciar identidades: aplique as permissões de privilégio mínimo	Proteja suas credenciais de usuário root e não as use para tarefas diárias Use o IAM Access Analyzer para gerar políticas de privilégios mínimos com base na atividade de acesso Verifique o acesso público e entre contas aos recursos com o IAM Access Analyzer Use o analisador de acesso do IAM para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais Estabeleça barreiras de permissões em várias contas Use limites de permissões para definir o máximo de permissões que uma política baseada em identidade pode conceder Use condições nas políticas do IAM para restringir ainda mais o acesso Revise e remova regularmente usuários, funções, permissões, políticas e credenciais não utilizados Comece com políticas AWS gerenciadas e adote permissões com privilégios mínimos Use o recurso de conjuntos de permissões no Centro de Identidade do IAM	SEC01- Conta BP02 segura, usuário raiz e propriedades SEC03- BP02 Conceda acesso com privilégios mínimos
Contas privilegiadas são impedidas de acessar a internet, o e-mail e serviços da web.	Consulte Technical example: Restrict administrative privileges (site do ACSC)	Considere implementar uma SCP que impeça que qualquer VPC que ainda não tenha acesso à internet venha a ter	Não aplicável
Usuários privilegiados usam ambientes operacionais privilegiados e não privilegiados separados.	Tema 5: estabelecer um perímetro de dados	Estabeleça um perímetro de dados. Considere implementar perímetros de dados entre ambientes de diferentes classificações de dados, como `OFFICIAL:SENSITIVE` ou `PROTECTED`, ou diferentes níveis de risco, como desenvolvimento, teste ou produção.	SEC06- BP03 Reduzir o gerenciamento manual e o acesso interativo
Ambientes operacionais privilegiados não são virtualizados em ambientes operacionais sem privilégios.
Contas sem privilégios não podem fazer login em ambientes operacionais privilegiados.
Contas privilegiadas (excluindo contas de administrador local) não podem fazer login em ambientes operacionais sem privilégios.
Just-in-time a administração é usada para administrar sistemas e aplicativos.	Tema 4: gerenciar identidades: implemente a federação de identidades	Exija que os usuários humanos se federem com um provedor de identidade para acessar AWS usando credenciais temporárias Implemente acesso elevado temporário aos seus AWS ambientes (postagem AWS no blog)	SEC02- BP04 Confie em um provedor de identidade centralizado
As atividades administrativas são conduzidas por meio de servidores de salto.	Tema 1: usar serviços gerenciados Tema 3: gerenciar infraestrutura mutável com automação: use automação em vez de processos manuais	Use o Gerenciador de Sessões ou o Run Command em vez do acesso direto por SSH ou RDP	SEC01- BP05 Reduzir o escopo do gerenciamento de segurança SEC06- BP03 Reduzir o gerenciamento manual e o acesso interativo
As credenciais para contas de administrador e contas de serviço locais são exclusivas, imprevisíveis e gerenciadas.	Consulte Technical example: Restrict administrative privileges (site do ACSC)	Não aplicável	Não aplicável
O Windows Defender Credential Guard e o Windows Defender Remote Credential Guard estão habilitados.		Não aplicável	Não aplicável
O uso do acesso privilegiado é registrado em log de forma centralizada e protegido contra modificações e exclusões não autorizadas, é monitorado em busca de sinais de comprometimento e é acionado quando eventos de segurança cibernética são detectados.	Tema 7: centralizar o registro em log e o monitoramento: habilite o registro em log Tema 7: centralizar o registro em log e o monitoramento: centralize os logs	Use o CloudWatch Agente para publicar registros no nível do sistema operacional no Logs CloudWatch Habilite CloudTrail para sua organização Centralize CloudWatch os registros em uma conta para auditoria e análise (AWS postagem no blog) Centralize o gerenciamento do Amazon Inspector Centralize o gerenciamento do Security Hub CSPM Create an organisation-wide aggregator in AWS Config (publicação do Blog da AWS ) Centralize o gerenciamento de GuardDuty Considere usar o Amazon Security Lake Receba CloudTrail registros de várias contas Envie logs para uma conta de arquivamento de logs	SEC04- BP01 Configurar o registro de serviços e aplicativos SEC04- BP02 Capture registros, descobertas e métricas em locais padronizados
As alterações em contas e grupos privilegiados são registradas em log de forma centralizada e protegidas contra modificações e exclusões não autorizadas, são monitoradas em busca de sinais de comprometimento e são acionadas quando eventos de segurança cibernética são detectados.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Hardening da aplicações de usuários

Sistemas operacionais de patches