View a markdown version of this page

SEC08-BP04 Impor o controle de acesso - AWS Well-Architected Framework
Orientação de implementaçãoRecursos

SEC08-BP04 Impor o controle de acesso

Para ajudar a proteger seus dados em repouso, implemente o controle de acesso utilizando mecanismos, como isolamento e versionamento, e aplique o princípio de privilégio mínimo. Evite conceder acesso público aos seus dados.

Resultado desejado: garantir que somente usuários autorizados possam acessar os dados conforme a necessidade. Proteger seus dados com backups regulares e versionamento a fim de impedir a modificação ou a exclusão de dados intencionais ou acidentais. Isolar dados críticos de outros dados a fim de proteger a confidencialidade e a integridade deles.

Antipadrões comuns:

  • Armazenar dados com requisitos de confidencialidade ou classificações diferentes juntos.

  • Utilizar permissões excessivamente permissivas em chaves de descriptografia.

  • Classificar dados de modo inadequado.

  • Não reter backups detalhados de dados importantes.

  • Conceder acesso persistente a dados de produção.

  • Não auditar o acesso aos dados nem rever as permissões regularmente

Nível de exposição a riscos quando esta prática recomendada não é estabelecida: baixo

Orientação de implementação

Vários controles podem ajudar a proteger seus dados em repouso, por exemplo, acesso (utilizando privilégio mínimo), isolamento e versionamento. Deve ser feita a auditoria de acesso aos seus dados com os mecanismos de detecção, como AWS CloudTrail e os logs de nível de serviço, como os logs de acesso do Amazon Simple Storage Service (Amazon S3). Você deve inventariar quais dados são acessíveis publicamente e criar um plano para reduzir a quantidade de dados disponíveis ao longo do tempo.

O Amazon Glacier Vault Lock e o Amazon S3 Object Lock fornecem controle de acesso obrigatório para os objetos no Amazon S3. Assim que uma política de cofre é bloqueada com a opção de conformidade, nem mesmo o usuário raiz pode alterá-la até que o bloqueio expire.

Etapas da implementação

  • Aplicar o controle de acesso: aplique o controle de acesso com privilégios mínimos, incluindo acesso a chaves de criptografia.

  • Dados separados com base em diferentes níveis de classificação: use diferentes Contas da AWS para níveis de classificação de dados e gerencie essas contas com o AWS Organizations.

  • Analisar as políticas do AWS Key Management Service (AWS KMS): analise o nível de acesso concedido nas políticas do AWS KMS.

  • Revisar as permissões de objeto e de bucket do Amazon S3: revise regularmente o nível de acesso concedido nas políticas de bucket do S3. Uma das práticas recomendadas é evitar buckets que possam ser lidos ou gravados publicamente. Considere o uso do AWS Config para detectar buckets que estão disponíveis publicamente e do Amazon CloudFront para fornecer conteúdo do Amazon S3. Garanta que os buckets que não devem permitir acesso público sejam configurados adequadamente para evitar o acesso público. Por padrão, todos os buckets do S3 são privados e só ser acessados por usuários que receberam explicitamente esse acesso.

  • Ativar o AWS IAM Access Analyzer: o IAM Access Analyzer analisa os buckets do Amazon S3 e gera uma descoberta quando uma política do S3 concede acesso a uma entidade externa.

  • Habilitar o versionamento do Amazon S3 e o bloqueio de objetos quando apropriado.

  • Utilizar o Amazon S3 Inventory: o Amazon S3 Inventory pode ser usado para auditar e gerar relatórios sobre o status de replicação e criptografia de seus objetos do S3.

  • Revisar as permissões do Amazon EBS e do compartilhamento de AMIs: as permissões de compartilhamento podem permitir que imagens e volumes sejam compartilhados com Contas da AWS externas à sua workload.

  • Revise os compartilhamentos do AWS Resource Access Manager periodicamente para determinar se os recursos devem continuar a ser compartilhados. O Resource Access Manager possibilita compartilhar recursos, como políticas do AWS Network Firewall, regras do Amazon Route 53 Resolver e sub-redes em suas Amazon VPCs. Faça auditoria em recursos compartilhados regularmente e interrompa o compartilhamento dos que não precisem mais ser compartilhados.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados: