As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Correção de exposições para usuários do IAM
AWSO Security Hub pode gerar descobertas de exposição para usuários AWS Identity and Access Management (IAM).
No console do Security Hub, o usuário do IAM envolvido em uma descoberta de exposição e suas informações de identificação estão listados na seção Recursos dos detalhes da descoberta. Programaticamente, você pode recuperar detalhes do recurso com a GetFindingsV2operação da API CSPM do Security Hub.
Depois de identificar o recurso envolvido em uma descoberta de exposição, é possível excluir o recurso se não precisar dele. A exclusão de um recurso não essencial pode reduzir seu perfil de exposição e AWS seus custos. Se o recurso for essencial, siga estas etapas de correção recomendadas para ajudar a mitigar o risco. Os tópicos de correção são divididos com base no tipo de característica.
Uma única descoberta de exposição contém problemas identificados em vários tópicos de correção. Por outro lado, é possível abordar uma descoberta de exposição e reduzir seu nível de gravidade abordando apenas um tópico de correção. Sua abordagem para a correção de riscos depende de seus requisitos organizacionais e workloads.
nota
A orientação de remediação fornecida neste tópico pode exigir consultas adicionais em outros AWS recursos.
As práticas recomendadas do IAM aconselham a criação de perfis do IAM ou o uso de federação com um provedor de identidades para acessar a AWS usando credenciais temporárias em vez de criar usuários do IAM individuais. Se essa for uma opção para sua organização e caso de uso, recomendamos mudar para perfis ou federação em vez de usar usuários do IAM. Para obter mais informações, consulte Usuários IAM no Manual do usuário IAM.
Sumário
Características de configuração incorreta para usuários do IAM
Aqui estão as características de configuração incorreta para usuários do IAM e as etapas de correção sugeridas.
O usuário do IAM tem uma política com acesso administrativo
As políticas do IAM concedem um conjunto de privilégios aos usuários do IAM para o acesso a recursos. As políticas administrativas fornecem aos usuários do IAM amplas permissões para AWS serviços e recursos. Fornecer privilégios administrativos completos, em vez do conjunto mínimo de permissões de que o usuário precisa, pode aumentar o escopo de um ataque se as credenciais forem comprometidas. Seguindo os princípios de segurança padrão, a AWS sugere que você conceda privilégios mínimos, o que significa conceder somente as permissões necessárias para executar uma tarefa.
-
Análise e identificação de políticas administrativas: em ID do recurso, identifique o nome do perfil do IAM. Acesse o painel do IAM e selecione o perfil identificado. Analise a política de permissões anexada ao usuário do IAM. Se a política for AWS gerenciada, procure
AdministratorAccessouIAMFullAccess. Caso contrário, no documento da política, procure declarações que tenham as declarações"Effect":"Allow"com"Action": "*"sobre"Resource": "*". -
Implementação de acesso de privilégio mínimo: substitua as políticas administrativas por aquelas que concedam somente as permissões específicas necessárias para que o usuário funcione. Para obter mais informações sobre as práticas recomendadas de segurança para políticas do IAM, consulte Aplicação de permissões de privilégio mínimo no Guia do usuário do AWS Identity and Access Management. Para identificar permissões desnecessárias, é possível usar o IAM Access Analyzer para entender como modificar sua política com base no histórico de acesso. Para obter mais informações, consulte Descobertas para acesso externo e não utilizado no Guia do usuário do AWS Identity and Access Management.
-
Considerações sobre configurações seguras: se forem necessárias permissões administrativas de serviços para a instância, considere implementar estes controles de segurança adicionais para reduzir os riscos:
-
Autenticação multifator (MFA): a MFA adiciona uma camada de segurança adicional ao exigir uma forma adicional de autenticação. Isso ajuda a impedir acesso não autorizado mesmo que as credenciais estejam comprometidas. Para obter mais informações, consulte Exigência de autenticação multifator (MFA) no Guia do usuário do AWS Identity and Access Management.
-
Condições do IAM: a configuração de elementos condicionais permite restringir quando e como as permissões administrativas podem ser usadas com base em fatores como IP de origem ou idade da MFA. Para obter mais informações, consulte Uso de condições nas políticas do IAM para restrição de acesso adicional no Guia do usuário do AWS Identity and Access Management.
-
Limites de permissão: os limites de permissão estabelecem o máximo de permissões que um perfil pode ter, fornecendo proteções para perfis com acesso administrativo. Para obter mais informações, consulte Uso de limites de permissões para delegar o gerenciamento de permissões em uma conta no Guia do usuário do AWS Identity and Access Management.
-
O usuário do IAM não tem a MFA habilitado
A autenticação multifator (MFA) adiciona uma camada extra de proteção sobre um nome de usuário e senha. Quando a MFA é ativada e um usuário do IAM faz login em um AWS site, ele é solicitado a fornecer seu nome de usuário, senha e um código de autenticação do dispositivo de AWS MFA. O principal de autenticação deve conter um dispositivo que emite uma chave sensível ao tempo e deve ter conhecimento de uma credencial. Sem o MFA, se a senha de um usuário for comprometida, o invasor terá acesso total às permissões do usuário. AWS Seguindo os princípios de segurança padrão, AWS recomenda habilitar a MFA para todas as contas e usuários que tenham Console de gerenciamento da AWS acesso.
Análise dos tipos de MFA
AWSsuporta os seguintes tipos de MFA:
-
Chaves de acesso e chaves de segurança
-
Aplicações de autenticador virtual
-
Tokens físicos de TOTP
Embora a autenticação com um dispositivo físico normalmente forneça uma proteção de segurança mais rigorosa, usar qualquer tipo de MFA é mais seguro do que ter a MFA desabilitada.
Habilitar MFA
Para habilitar o tipo de MFA adequado às suas necessidades, consulte Autenticação multifator da AWS no IAM no Guia do usuário do IAM. Siga as etapas do tipo específico de MFA que você deseja implementar. Para organizações que gerenciem muitos usuários, talvez você queira impor o uso de MFA exigindo que a MFA acesse recursos sensíveis.
O usuário do IAM tem uma política com acesso administrativo a um AWS service (Serviço da AWS)
As políticas de administração de serviços fornecem aos usuários do IAM permissões para realizar todas as ações em um AWS serviço específico. Essas políticas geralmente incluem permissões que não são necessárias para que os usuários executem suas funções de trabalho. Fornecer privilégios de administrador de serviço a um usuário do IAM, em vez do conjunto mínimo de permissões necessárias, aumentará o escopo de um ataque se as credenciais forem comprometidas. Seguindo os princípios de segurança padrão, a AWS sugere que você conceda privilégios mínimos, o que significa conceder somente as permissões necessárias para executar uma tarefa.
Análise e identificação das políticas de administrador de serviços
No ID do recurso, identifique o nome do perfil do IAM. Acesse o painel do IAM e selecione o perfil identificado. Analise a política de permissões anexada ao usuário do IAM. Se a política for uma política gerenciada pela AWS, procure por AdministratorAccess ou IAMFullAccess. Caso contrário, no documento de política, procure por declarações que tenham as declarações “Effect": "Allow" with "Action": "*" over "Resource": "*".
Implemente o acesso de privilégio mínimo
Substitua as políticas administrativas de serviço por aquelas que concedam somente as permissões específicas necessárias para que o usuário funcione. Para identificar permissões desnecessárias, é possível usar o IAM Access Analyzer para entender como modificar sua política com base no histórico de acesso.
Considerações sobre configuração segura
Se forem necessárias permissões administrativas de serviço para a instância, considere implementar estes controles de segurança adicionais para mitigar a exposição:
-
A MFA adiciona uma camada de segurança adicional ao exigir uma forma adicional de autenticação. Isso ajuda a impedir acesso não autorizado mesmo que as credenciais estejam comprometidas.
-
Use elementos de condição para restringir quando e como as permissões administrativas podem ser usadas com base em fatores como IP de origem ou idade da MFA.
-
Use limites de permissão para estabelecer o máximo de permissões que um perfil pode ter, fornecendo barreiras de proteção para perfis com acesso administrativo.
A AWS conta do usuário do IAM tem políticas de senha fracas
As políticas de senha ajudam a proteger contra acesso não autorizado ao impor requisitos mínimos de complexidade para as senhas de usuários do IAM. Sem políticas de senha fortes, há um risco maior de que as contas dos usuários sejam comprometidas por meio de adivinhação de senhas ou ataques de força bruta. Seguindo os princípios de segurança padrão, AWS recomenda a implementação de uma política de senha forte para garantir que os usuários criem senhas complexas e difíceis de adivinhar.
Configuração de uma política de senha forte
Acesse o painel do IAM e navegue até Configurações da conta. Analise as configurações atuais da política de senha da sua conta, incluindo o tamanho mínimo, os tipos de caracteres necessários e as configurações de expiração da senha.
No mínimo, AWS recomenda seguir estas melhores práticas ao definir sua política de senha:
-
Exigir pelo menos um caractere maiúsculo.
-
Exigir pelo menos um caractere minúsculo.
-
Exigir pelo menos um símbolo.
-
Exigir pelo menos um número.
-
Exigir pelo menos oito caracteres.
Considerações adicionais sobre segurança
Considere estas medidas de segurança adicionais, além de uma política de senha forte:
-
A MFA adiciona uma camada de segurança adicional ao exigir uma forma adicional de autenticação. Isso ajuda a impedir acesso não autorizado mesmo que as credenciais estejam comprometidas.
-
A configuração de elementos de condição para restringir quando e como as permissões administrativas podem ser usadas com base em fatores como IP de origem ou idade da MFA.
O usuário do IAM tem credenciais não utilizadas
Credenciais não utilizadas, incluindo senhas e chaves de acesso que permaneceram inativas por 90 dias ou mais, representam um risco de segurança para seu ambiente. AWS Essas credenciais não utilizadas criam possíveis vetores de ataque para invasores e aumentam a superfície de ataque geral da sua organização. Seguindo as melhores práticas de segurança, AWS recomenda desativar ou remover credenciais que não tenham sido usadas em 90 dias ou mais para reduzir sua superfície de ataque.
Desabilitação ou remoção de credenciais não utilizadas
Na descoberta de exposição, abra o recurso. Isso abrirá a janela de detalhes do usuário. Antes de agir com relação às credenciais não utilizadas, avalie o impacto potencial em seu ambiente. A remoção de credenciais sem uma avaliação adequada pode interromper processos em segundo plano, trabalhos agendados e muito mais. Considere um breve período de desativação antes da remoção permanente para verificar o impacto da remoção das credenciais não utilizadas.
Execute a ação apropriada com base no tipo de credencial:
-
Para senhas de console não utilizadas, considere primeiro alterar a senha e desativá-la temporariamente. Se nenhum problema surgir, prossiga com a desativação ou exclusão permanente.
-
Para chaves de acesso não utilizadas, considere primeiro desativar a chave. Depois de confirmar que nenhum sistema foi afetado, prossiga com a desativação ou exclusão permanente.
-
Para usuários não utilizados, considere desativar temporariamente o usuário anexando uma política restritiva antes da exclusão total.
O usuário do IAM tem chaves de acesso não alternadas
As chaves de acesso consistem em um ID de chave de acesso e uma chave de acesso secreta que permitem o acesso programático aos AWS recursos. Quando as chaves de acesso permanecem inalteradas por longos períodos de tempo, elas aumentam o risco de acesso não autorizado caso comprometidas. Seguindo as melhores práticas de segurança, AWS recomenda a rotação das chaves de acesso a cada 90 dias para minimizar a janela de oportunidade para os invasores usarem credenciais comprometidas.
Alternância das chaves de acesso
Na descoberta de exposição, abra o recurso. Isso abrirá a janela de detalhes do usuário. Para alternar as chaves de acesso, consulte Gerenciamento de chaves de acesso para usuários do IAM no Guia do usuário do IAM.
O usuário do IAM tem uma política que permite acesso irrestrito à decodificação de chaves do KMS
AWS KMSpermite que você crie e gerencie chaves criptográficas que são usadas para proteger seus dados. As políticas do IAM que permitem permissões de AWS KMS descriptografia irrestritas (por exemplo, kms:Decrypt oukms:ReEncryptFrom) em todas as chaves do KMS podem levar ao acesso não autorizado aos dados se as credenciais de um usuário do IAM forem comprometidas. Se um invasor obtiver acesso a essas credenciais, ele poderá descriptografar quaisquer dados criptografados em seu ambiente, o que pode incluir dados sensíveis. Seguindo as melhores práticas de segurança, AWS recomenda implementar o privilégio mínimo limitando as permissões de AWS KMS descriptografia somente às chaves específicas de que os usuários precisam para suas funções de trabalho.
Implemente o privilégio de acesso mínimo
Na descoberta de exposição, abra o recurso. Isso abrirá a janela de políticas do IAM. Procure permissões no KMS que permitam kms: Decrypt kms:ReEncryptFrom ou KMS:* com uma especificação de recurso de. "*" Atualize a política para restringir as permissões AWS KMS de decodificação somente às chaves específicas necessárias. Modifique a política para substituir o "*" recurso pelas AWS KMS chaves específicas ARNs necessárias.
Considerações sobre configuração segura
Considere adicionar condições para restringir ainda mais quando essas permissões podem ser usadas. Por exemplo, é possível limitar as operações de descriptografia a endpoints da VPC específicos ou a intervalos de IP de origem. Também é possível configurar políticas de chaves para restringir ainda mais quem pode usar chaves do KMS específicas.
