View a markdown version of this page

SEC01-BP02 Proteger as propriedades e o usuário raiz das contas - AWS Well-Architected Framework
Orientação de implementaçãoRecursos

SEC01-BP02 Proteger as propriedades e o usuário raiz das contas

O usuário raiz é o mais privilegiado de uma Conta da AWS, com acesso administrativo integral a todos os recursos da conta, e em alguns casos não pode ser restringido por políticas de segurança. Desabilitar o acesso programático ao usuário raiz, estabelecer controles apropriados para ele e evitar o uso rotineiro desse usuário ajuda a reduzir o risco de exposição acidental das credenciais raiz e o subsequente comprometimento do ambiente de nuvem.

Resultado desejado: proteger o usuário raiz ajuda a reduzir a chance de danos acidentais ou intencionais decorrentes do mau uso das respectivas credenciais. Estabelecer controles de detecção também pode alertar o pessoal apropriado quando se realizam ações utilizando o usuário raiz.

Antipadrões comuns:

  • Utilizar o usuário raiz para outras tarefas que não sejam aquelas que exigem credenciais do usuário raiz. 

  • Negligenciar os testes dos planos de contingência regularmente a fim de verificar a funcionalidade da infraestrutura, dos processos e dos funcionários essenciais durante uma emergência.

  • Considerar apenas o fluxo típico de login de contas e não considerar nem testar métodos de recuperação de contas alternativos.

  • Não lidar com DNS, servidores de e-mail e operadoras de telefonia como parte do perímetro de segurança essencial, pois eles são usados no fluxo de recuperação de contas.

Benefícios do estabelecimento desta prática recomendada: proteger o acesso ao usuário raiz cria a confiança de que as ações em sua conta estão controladas e auditadas.

Nível de exposição a riscos quando esta prática recomendada não é estabelecida: alto

Orientação de implementação

A AWS oferece muitas ferramentas para ajudar a proteger sua conta. No entanto, como algumas dessas medidas não estão habilitadas por padrão, é necessário implementá-las diretamente. Leve em consideração essas recomendações como etapas fundamentais para proteger sua Conta da AWS. Ao implementar essas etapas, é importante criar um processo para avaliar e monitorar os controles de segurança de forma contínua.

Ao criar uma Conta da AWS pela primeira vez, você começa com uma identidade que tem acesso completo a todos os recursos e serviços da AWS na conta. Essa identidade é chamada de usuário raiz da Conta da AWS. É possível fazer login como usuário raiz usando o endereço de e-mail e a senha utilizados para criar a conta. Devido ao acesso elevado concedido ao usuário raiz da AWS, é necessário limitar o uso do usuário raiz da AWS à realização de tarefas que o exijam especificamente. As credenciais de login do usuário raiz devem ser bem protegidas, e a autenticação multifator (MFA) sempre deve ser habilitada para o usuário raiz da Conta da AWS.

Além do fluxo de autenticação normal para fazer login com seu usuário raiz usando um nome de usuário, senha e o dispositivo de autenticação multifator (MFA), há fluxos de recuperação de contas para fazer login com seu usuário raiz da Conta da AWS com o endereço de e-mail e o número de telefone associados à sua conta. Dessa forma, é igualmente importante proteger a conta de e-mail do usuário raiz para a qual o e-mail de recuperação é enviado e o número de telefone associado à conta. Além disso, considere possíveis dependências circulares em que o endereço de e-mail associado ao usuário raiz é hospedado em servidores de e-mail ou recursos de serviço de nome de domínio (DNS) da mesma Conta da AWS.

Ao usar o AWS Organizations, há várias Contas da AWS, e cada uma tem um usuário raiz. Uma conta é designada como a conta de gerenciamento e várias camadas de contas membros podem ser adicionadas à conta de gerenciamento. Priorize a proteção do usuário raiz de sua conta de gerenciamento e, depois, os usuários raiz das contas membros. A estratégia para proteger o usuário raiz de sua conta de gerenciamento pode diferir da utilizada nos usuários raiz de suas contas membros, e é possível implementar controles de segurança preventivos nos usuários raiz dessas contas.

Etapas da implementação

As etapas de implementação a seguir são recomendadas para estabelecer controles para o usuário raiz. Quando aplicável, as recomendações têm referências cruzadas com o Benchmark do CIS AWS Foundations versão 1.4.0. Além dessas etapas, consulte as Diretrizes de práticas recomendadas da AWS para proteger os recursos e a Conta da AWS.

Controles preventivos

  1. Configure informações de contato precisos para a conta.

    1. Essas informações são usadas para o fluxo de recuperação de senha perdida, o fluxo de recuperação de conta de dispositivo MFA perdida e para comunicações com sua equipe sobre segurança crítica.

    2. Utilize um endereço de e-mail hospedado por seu domínio corporativo, preferencialmente uma lista de distribuição, como o endereço de e-mail do usuário raiz. O uso de uma lista de distribuição em vez da conta de e-mail de um indivíduo oferece redundância e continuidade adicionais para o acesso à conta raiz por longos períodos.

    3. O número de telefone listado nas informações de contato deve ser um telefone dedicado e seguro para esse fim. O número de telefone não deve ser listado nem compartilhado com ninguém.

  2. Não crie chaves de acesso para o usuário raiz. Se houver chaves de acesso, remova-as (CIS 1.4).

    1. Elimine todas as credenciais programáticas de longa duração (chaves de acesso e secretas) para o usuário raiz.

    2. Se já houver chaves de acesso do usuário raiz, será necessário fazer a transição dos processos que utilizam essas chaves para utilizar chaves de acesso temporárias de um perfil do AWS Identity and Access Management (IAM), depois excluir as chaves de acesso do usuário raiz.

  3. Determine se você precisa armazenar credenciais para o usuário raiz.

    1. Ao usar o AWS Organizations para criar contas membros, a senha inicial do usuário raiz em novas contas membros é definida como um valor aleatório que não é exposto a você. Se necessário, considere utilizar o fluxo de redefinição de senha de sua conta de gerenciamento do AWS Organizations para obter acesso à conta membro.

    2. Para Contas da AWS autônomas ou a conta de gerenciamento do AWS Organizations, considere criar e armazenar de forma segura as credenciais do usuário raiz. Ativar a MFA para o usuário raiz

  4. Ative os controles preventivos para os usuários raiz das contas membros em ambientes de várias contas da AWS.

    1. Considere habilitar a barreira de proteção preventiva Desautorizar criação de chaves de acesso raiz para o usuário raiz para contas membros.

    2. Considere habilitar a barreira de proteção preventiva Desautorizar criação como um usuário raiz para contas membros.

  5. Se você precisar de credenciais para o usuário raiz:

    1. Use uma senha complexa.

    2. Ative a autenticação multifator (MFA) para o usuário raiz, especialmente para contas (pagantes) de gerenciamento do AWS Organizations (CIS 1.5).

    3. Considere o uso de dispositivos de MFA de hardware para ter resiliência e segurança, pois os dispositivos de uso único reduzem as chances de os dispositivos que contêm seus códigos de MFA serem reutilizados para outros fins. Garanta que os dispositivos de MFA de hardware alimentados por bateria sejam substituídos regularmente. (CIS 1.6)

    4. Considere registrar vários dispositivos de MFA para backup. Até oito dispositivos de MFA são permitidos por conta.

    5. Armazene a senha com segurança e considere as dependências circulares se for armazenar a senha eletronicamente. Não armazene a senha de uma forma que exija o acesso à mesma Conta da AWS para obtê-la.

  6. Opcional: considere estabelecer um cronograma de alternância de senha periódica para o usuário raiz.

    • As práticas recomendadas de gerenciamento de credenciais dependem de seus requisitos regulatórios e de política. Os usuários raiz protegidos por MFA não dependem da senha como um único fator de autenticação.

    • A alteração periódica da senha de usuário raiz reduz o risco de mau uso de uma senha exposta acidentalmente.

Controles de detecção

Orientação operacional

  • Determine quem na organização deve ter acesso às credenciais do usuário raiz.

    • Use uma regra de duas pessoas de forma que um indivíduo tenha acesso a todas as credenciais necessárias e MFA para obter acesso de usuário raiz.

    • Verifique se é a organização, e não um único indivíduo, que mantém controle sobre o número de telefone e alias de e-mail associados à conta (que são utilizados para redefinição de senha e fluxo de redefinição de MFA).

  • Utilize o usuário raiz apenas como uma exceção (CIS 1.7).

    • O usuário raiz da AWS não deve ser usado para tarefas diárias, mesmo que sejam tarefas administrativas. Somente faça login como usuário raiz para realizar tarefas da AWS que o exijam especificamente. Todas as outras ações devem ser realizadas por outros usuários que assumem perfis apropriados.

  • Confira periodicamente se o acesso ao usuário raiz está funcionando de forma que os procedimentos sejam testados antes de uma situação de emergência que exija o uso das credenciais do usuário raiz.

  • Confira periodicamente se o endereço de e-mail associado à conta e os listados em Contatos alternativos funcionam. Monitore as caixas de entrada de e-mail das quais você recebe notificações de segurança . Além disso, garanta que todos os números de telefone associados à conta estejam funcionando.

  • Prepare um procedimento de resposta a incidentes para responder ao mau uso da conta raiz. Consulte o Guia de resposta a incidentes de segurança da AWS e as práticas recomendadas na seção “Resposta a incidentes” do whitepaper Pilar Segurança para ter mais informações sobre como criar uma estratégia de resposta a incidentes para sua Conta da AWS.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados:

Exemplos e laboratórios relacionados: