A autenticação multifator (MFA) adiciona uma camada extra de garantia de autenticação além das credenciais tradicionais. Com a MFA habilitada, quando um usuário faz login no Console da AWS, ele será solicitado a fornecer seu nome de usuário e senha, bem como um código de autenticação do token de MFA físico ou virtual. É recomendável que a MFA seja habilitada para todas as contas que tenham uma senha de console.

Habilitar a MFA fornece maior segurança para o acesso ao console, pois requer que a entidade de autenticação tenha um dispositivo que exiba uma chave sensível ao tempo e tenha conhecimento de uma credencial.

Os usuários do AWS IAM podem acessar recursos da AWS usando diferentes tipos de credenciais, como senhas ou chaves de acesso. É recomendável que todas as credenciais que não foram utilizadas em 45 dias ou mais sejam desativadas ou removidas

Desabilitar ou remover credenciais desnecessárias reduzirá a janela de oportunidade para que as credenciais associadas a uma conta comprometida ou abandonada sejam usadas.

As chaves de acesso são credenciais de longo prazo para um usuário do IAM ou o usuário "raiz" da conta da AWS. Você pode usar chaves de acesso para assinar solicitações programáticas para a CLI da AWS ou a API da AWS (diretamente ou usando o AWS SDK)

As chaves de acesso são credenciais de longo prazo para um usuário do IAM ou o usuário "raiz" da conta da AWS. Você pode usar chaves de acesso para assinar solicitações programáticas para a CLI da AWS ou a API da AWS. Uma das melhores maneiras de proteger sua conta é não permitir que os usuários tenham várias chaves de acesso.

As chaves de acesso consistem em um ID de chave de acesso e uma chave de acesso secreta, que são usadas para assinar solicitações programáticas que você faz à AWS. Os usuários da AWS precisam de suas próprias chaves de acesso para fazer chamadas programáticas para a AWS a partir da Interface de linha de comando da AWS (AWS CLI), das Ferramentas para Windows PowerShell, dos SDKs da AWS ou de chamadas HTTP diretas usando as APIs para serviços individuais da AWS. É recomendável que todas as chaves de acesso sejam giradas regularmente.

Chaves de acesso giratórias reduzirão a janela de oportunidade para que uma chave de acesso associada a uma conta comprometida ou encerrada seja usada.

As chaves de acesso devem ser giradas para garantir que os dados não possam ser acessados com uma chave antiga que possa ter sido perdida, quebrada ou roubada.

Os usuários do IAM recebem acesso a serviços, funções e dados por meio de políticas de IAM.

Somente a terceira implementação é recomendada.

Atribuir política de IAM somente por meio de grupos unifica a gestão de permissões em uma camada única e flexível consistente com as funções funcionais organizacionais. Ao unificar a gestão de permissões, a probabilidade de permissões excessivas é reduzida.

As políticas de IAM são os meios pelos quais os privilégios são concedidos a usuários, grupos ou funções. É recomendável e considerado um conselho de segurança padrão conceder o mínimo privilégio, ou seja, conceder somente as permissões necessárias para executar uma tarefa. Determine o que os usuários precisam fazer e crie políticas para eles que permitam que os usuários executem somente essas tarefas, em vez de permitir privilégios administrativos totais.

É mais seguro começar com um conjunto mínimo de permissões e conceder permissões adicionais conforme necessário, em vez de começar com permissões muito brandas e tentar restringi-las mais tarde.

Fornecer privilégios administrativos completos em vez de restringir ao conjunto mínimo de permissões que o usuário deve fazer expõe os recursos a ações potencialmente indesejadas.

Políticas de IAM que têm uma declaração com "efeito": "Permitir" com "Ação": " "Sobre "Recurso": " " deve ser removido.

A AWS fornece um centro de suporte que pode ser usado para notificação e resposta a incidentes, bem como suporte técnico e atendimento ao cliente. Crie uma função de IAM para permitir que usuários autorizados gerenciem incidentes com o AWS Support.

Ao implementar o privilégio mínimo para controle de acesso, uma função do IAM exigirá uma política de IAM apropriada para permitir o acesso à Central de suporte para gerenciar incidentes com o AWS Support.

Para habilitar conexões HTTPS com seu site ou aplicação na AWS, você precisa de um certificado de servidor SSL/TLS. Você pode usar o ACM ou o IAM para armazenar e implantar certificados de servidor. Use o IAM como gerenciador de certificados somente quando você precisar oferecer suporte a conexões HTTPS em uma região que não é compatível com o ACM. O IAM criptografa com segurança suas chaves privadas e armazena a versão criptografada no armazenamento de certificados SSL do IAM. O IAM oferece suporte à implantação de certificados de servidor em todas as regiões, mas você deve obter seu certificado de um provedor externo para uso com a AWS. Não é possível carregar um certificado ACM para o IAM. Além disso, você não pode gerenciar seus certificados no Console do IAM.

Remover certificados SSL/TLS expirados elimina o risco de que um certificado inválido seja implantado acidentalmente em um recurso como o AWS Elastic Load Balancer (ELB), o que pode prejudicar a credibilidade da aplicação/site por trás do ELB. Como prática recomendada, é recomendável excluir certificados expirados.

Habilite o analisador de acesso do IAM para políticas de IAM sobre todos os recursos em cada região.

IAM Access Analyzer é uma tecnologia introduzida na AWS reinventar 2019. Depois que o analisador é habilitado no IAM, os resultados da verificação são exibidos no console mostrando os recursos acessíveis. As verificações mostram recursos que outras contas e usuários federados podem acessar, como chaves do KMS e funções do IAM. Portanto, os resultados permitem que você determine se um usuário não intencional é permitido, facilitando para os administradores monitorar o acesso com privilégios mínimos. O Analisador de acesso analisa somente as políticas que são aplicadas aos recursos na mesma região da AWS.

O AWS IAM Access Analyzer ajuda a identificar os recursos em sua organização e contas, como buckets do Amazon S3 ou funções do IAM, que são compartilhados com uma entidade externa. Isso permite que você identifique o acesso não intencional aos seus recursos e dados. O Analisador de acesso identifica recursos compartilhados com entidades externas usando raciocínio baseado em lógica para analisar as políticas baseadas em recursos em seu ambiente AWS. O IAM Access Analyzer monitora continuamente todas as políticas de bucket S3, funções IAM, chaves do KMS (Key Management Service), funções do AWS Lambda e filas do Amazon SQS (Simple Queue Service).

A conta de usuário "raiz" é o usuário mais privilegiado em uma conta da AWS. As chaves de acesso da AWS fornecem acesso programático a uma determinada conta da AWS. É recomendável que todas as chaves de acesso associadas à conta de usuário "root" sejam removidas.

Removendo chaves de acesso associadas aos vetores de limites de conta de usuário "raiz" pelos quais a conta pode ser comprometida. Além disso, remover as chaves de acesso "raiz" incentiva a criação e o uso de contas baseadas em função que tenham menos privilégios.

A conta de usuário "raiz" é o usuário mais privilegiado em uma conta da AWS. A autenticação multifator (MFA) adiciona uma camada extra de proteção além de um nome de usuário e senha. Com a MFA habilitada, quando um usuário faz login em um site da AWS, ele será solicitado a fornecer seu nome de usuário e senha, bem como um código de autenticação do dispositivo de MFA da AWS.

Habilitar a MFA fornece maior segurança para o acesso ao console, pois requer que a entidade de autenticação tenha um dispositivo que emite uma chave sensível ao tempo e tenha conhecimento de uma credencial.

A conta de usuário "raiz" é o usuário mais privilegiado em uma conta da AWS. A MFA adiciona uma camada extra de proteção além de um nome de usuário e senha. Com a MFA habilitada, quando um usuário faz login em um site da AWS, ele será solicitado a fornecer seu nome de usuário e senha, bem como um código de autenticação do dispositivo de MFA da AWS. Para o nível 2, é recomendável que a conta de usuário "raiz" seja protegida com uma MFA de hardware.

Uma MFA de hardware tem uma superfície de ataque menor do que uma MFA virtual. Por exemplo, uma MFA de hardware não sofre a superfície de ataque introduzida pelo smartphone móvel no qual reside uma MFA virtual.

Com a criação de uma conta da AWS, um "usuário raiz" é criado que não pode ser desabilitado ou excluído. Esse usuário tem acesso irrestrito e controle sobre todos os recursos na conta da AWS. É altamente recomendável que o uso desta conta seja evitado para tarefas diárias.

O "usuário raiz" tem acesso irrestrito e controle sobre todos os recursos da conta. O uso dele é incompatível com os princípios de menor privilégio e separação de deveres e pode levar a danos desnecessários devido a erro ou comprometimento da conta.

As políticas de senha são, em parte, usadas para impor requisitos de complexidade de senha. As políticas de senha do IAM podem ser usadas para garantir que a senha tenha pelo menos um determinado tamanho. É recomendável que a política de senha exija um tamanho mínimo de senha 14.

Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login de força bruta.

As políticas de senha do IAM podem impedir a reutilização de uma determinada senha pelo mesmo usuário. É recomendável que a política de senha impeça a reutilização de senhas.

Impedir a reutilização de senha aumenta a resiliência da conta contra tentativas de login de força bruta.

O Amazon S3 fornece Bloquear acesso público (configurações de bucket) e Bloquear acesso público (configurações de conta) para ajudar você a gerenciar o acesso público aos recursos do Amazon S3. Por padrão, os buckets e objetos do S3 são recriados com o acesso público desabilitado. No entanto, uma entidade do IAM com permissões S3 suficientes pode habilitar o acesso público no nível de bucket e/ou objeto. Bloquear acesso público (configurações de bucket)impede que um bucket individual e seus contêinedobjects se tornem publicamente acessíveis. Da mesma forma, Bloquear acesso público (configurações da conta) impede que todos os buckets e objetos contidos se tornem publicamente acessíveis em toda a conta.

Bloquear acesso público (configurações de bucket) impede a exposição pública acidental ou mal-intencionada dos dados contidos nos respectivos buckets.

Bloquear acesso público (configurações da conta) impede a exposição pública acidental ou mal-intencionada de dados contidos em todos os buckets da respectiva conta da AWS.

Bloquear o acesso público a todos ou alguns buckets é uma decisão organizacional que deve ser baseada na confidencialidade de dados, no mínimo privilégio e no caso de uso.

As operações da API no nível de objeto do S3, como GetObject, DeleteObject e PutObject, são chamadas de eventos de dados. Por padrão, as trilhas do CloudTrail não Registram eventos de dados e, portanto, é recomendável fazer isso

Habilitar registro em log no nível de objeto para buckets do S3.

Justificativa:

Habilitar o registro em log em nível de objeto ajudará você a atender aos requisitos de conformidade de dados em sua organização, a executar análises de segurança abrangentes e a monitorar padrões específicos do usuário

Comportamento em sua conta da AWS ou execute ações imediatas em qualquer atividade de API no nível de objeto em seus buckets do S3 usando o Amazon CloudWatch Events.

As operações da API no nível de objeto do S3, como GetObject, DeleteObject e PutObject, são chamadas de eventos de dados. Por padrão, as trilhas do CloudTrail não Registram eventos de dados e, portanto, é recomendável fazer isso

Habilitar registro em log no nível de objeto para buckets do S3.

Justificativa:

Habilitar o registro em log em nível de objeto ajudará você a atender aos requisitos de conformidade de dados em sua organização, a executar análises de segurança abrangentes e a monitorar padrões específicos do usuário

Comportamento em sua conta da AWS ou execute ações imediatas em qualquer atividade de API no nível de objeto usando o Amazon CloudWatch Events.

A função Lista de controle de acesso à rede (NACL) fornece filtragem sem estado do tráfego de rede de entrada e saída para recursos da AWS. Nenhum NACL permita acesso de entrada irrestrito às portas de administração do servidor remoto, como SSH para a porta 22 e RDP para a porta 3389.

O acesso público a portas de administração de servidor remoto, como 22 e 3389, aumenta a superfície de ataque de recursos e aumenta desnecessariamente o risco de comprometimento de recursos.