L’authentification multifacteur (MFA) ajoute une couche supplémentaire d’assurance d’authentification au-delà des informations d’identification traditionnelles. Lorsque l’authentification multifacteur est activée, lorsqu’un utilisateur se connecte à AWS Console, il est invité à saisir son nom d’utilisateur et son mot de passe ainsi qu’un code d’authentification à partir de son jeton MFA physique ou virtuel. Il est recommandé d’activer la MFA pour tous les comptes qui ont un mot de passe de console.

L’activation de la MFA offre une sécurité accrue pour l’accès à la console, car elle nécessite que le principal authentifiant possède un appareil qui affiche une clé urgente et qu’il connaisse des informations d’identification.

Les utilisateurs AWS IAM peuvent accéder aux ressources AWS à l’aide de différents types d’informations d’identification, telles que des mots de passe ou des clés d’accès. Il est recommandé de désactiver ou de supprimer tous les identifiants qui n’ont pas été utilisés pendant 45 jours ou plus

La désactivation ou la suppression des informations d’identification inutiles réduira la fenêtre d’opportunité pour l’utilisation des informations d’identification associées à un compte compromis ou abandonné.

Les clés d’accès sont des informations d’identification à long terme pour un utilisateur IAM ou l’utilisateur « racine » du compte AWS. Vous pouvez utiliser des clés d’accès pour signer des demandes programmatiques vers l’interface de ligne de commande AWS ou l’API AWS (directement ou à l’aide du kit SDK AWS)

Les clés d’accès sont des informations d’identification à long terme pour un utilisateur IAM ou l’utilisateur « racine » du compte AWS. Vous pouvez utiliser des clés d’accès pour signer des demandes programmatiques sur l’interface de ligne de commande AWS ou l’API AWS. L’une des meilleures façons de protéger votre compte est de ne pas permettre aux utilisateurs d’avoir plusieurs clés d’accès.

Les clés d’accès se composent d’un ID de clé d’accès et d’une clé d’accès secrète, qui sont utilisés pour signer les demandes de programmation que vous effectuez à AWS. Les utilisateurs AWS ont besoin de leurs propres clés d’accès pour effectuer des appels programmatiques vers AWS à partir de l’interface de ligne de commande AWS (AWS CLI), des outils pour Windows PowerShell, des kits SDK AWS ou des appels HTTP directs à l’aide des API pour les services AWS individuels. Il est recommandé de faire tourner régulièrement toutes les clés d’accès.

La rotation des clés d’accès réduira la fenêtre d’opportunité pour l’utilisation d’une clé d’accès associée à un compte compromis ou résilié.

Les clés d’accès doivent être tournées pour s’assurer que les données ne sont pas accessibles avec une ancienne clé qui pourrait avoir été perdue, fissurée ou volée.

Les utilisateurs IAM ont accès aux services, aux fonctions et aux données par le biais des politiques IAM.

Seule la troisième implémentation est recommandée.

L’affectation d’une politique IAM uniquement par le biais de groupes unifie la gestion des autorisations à une couche unique et flexible compatible avec les rôles fonctionnels de l’organisation. En unifiant la gestion des autorisations, la probabilité d’autorisations excessives est réduite.

Les politiques IAM sont le moyen par lequel les privilèges sont accordés aux utilisateurs, aux groupes ou aux rôles. Il est recommandé et considéré comme un conseil de sécurité standard d’accorder le moindre privilège, c’est-à-dire d’accorder uniquement les autorisations requises pour effectuer une tâche. Déterminez ce que les utilisateurs doivent faire, puis élaborez pour eux des politiques qui leur permettent d’effectuer uniquement ces tâches, au lieu d’accorder des privilèges administratifs complets.

Il est plus sûr de commencer avec un ensemble minimum d’autorisations et d’accorder des autorisations supplémentaires si nécessaire, plutôt que de commencer par des autorisations trop indulgentes et d’essayer de les resserrer par la suite.

Fournir des privilèges d’administration complets au lieu de se limiter à l’ensemble minimal d’autorisations que l’utilisateur est tenu d’accorder expose les ressources à des actions potentiellement indésirables.

Les politiques IAM qui ont une instruction avec « Effet » : « Autoriser » avec « Action » : « » sur « Ressource » : « » doivent être supprimées.

AWS fournit un centre d’assistance qui peut être utilisé pour la notification et la réponse aux incidents, ainsi qu’une assistance technique et des services à la clientèle. Créez un rôle IAM pour permettre aux utilisateurs autorisés de gérer les incidents avec AWS Support.

En mettant en œuvre le moindre privilège pour le contrôle d’accès, un rôle IAM nécessitera une politique IAM appropriée pour permettre l’accès au centre de support afin de gérer les incidents avec AWS Support.

Pour activer les connexions HTTPS à votre site Web ou à votre application dans AWS, vous avez besoin d’un certificat de serveur SSL/TLS. Vous pouvez utiliser ACM ou IAM pour stocker et déployer des certificats de serveur. Utilisez IAM en tant que gestionnaire de certificats uniquement lorsque vous devez prendre en charge les connexions HTTPS dans une région qui n’est pas prise en charge par ACM. IAM chiffre en toute sécurité vos clés privées et stocke la version chiffrée dans le stockage des certificats SSL IAM. IAM prend en charge le déploiement de certificats de serveur dans toutes les régions, mais vous devez obtenir votre certificat auprès d’un fournisseur externe pour une utilisation avec AWS. Vous ne pouvez pas charger un certificat ACM sur IAM. De plus, vous ne pouvez pas gérer vos certificats à partir de la console IAM.

La suppression des certificats SSL/TLS expirés élimine le risque qu’un certificat non valide soit déployé accidentellement sur une ressource telle qu’AWS Elastic Load Balancer (ELB), ce qui peut nuire à la crédibilité de l’application/du site Web derrière ELB. Il est recommandé de supprimer les certificats expirés.

Activez l’analyseur d’accès IAM pour les politiques IAM sur toutes les ressources de chaque région.

IAM Access Analyzer est une technologie introduite lors d’AWS Reinvent 2019. Une fois l’analyseur activé dans IAM, les résultats de l’analyse sont affichés sur la console en affichant les ressources accessibles. Les analyses montrent les ressources auxquelles d’autres comptes et utilisateurs fédérés peuvent accéder, telles que les clés KMS et les rôles IAM. Ainsi, les résultats vous permettent de déterminer si un utilisateur non prévu est autorisé, ce qui permet aux administrateurs de surveiller plus facilement l’accès avec les privilèges minimum. Access Analyzer analyse uniquement les politiques appliquées aux ressources de la même région AWS.

AWS IAM Access Analyzer vous aide à identifier les ressources de votre organisation et de vos comptes, telles que les catégories Amazon S3 ou les rôles IAM, qui sont partagées avec une entité externe. Cela vous permet d’identifier les accès non intentionnels à vos ressources et données. Access Analyzer identifie les ressources partagées avec des principaux externes en utilisant un raisonnement logique pour analyser les politiques basées sur les ressources dans votre environnement AWS. IAM Access Analyzer surveille en permanence toutes les politiques pour la catégorie S3, les rôles IAM, les clés KMS (Key Management Service), les fonctions AWS Lambda et les files d’attente Amazon SQS (Simple Queue Service).

Le compte d’utilisateur « racine » est l’utilisateur ayant le plus de privilèges dans un compte AWS. Les clés d’accès AWS fournissent un accès programmatique à un compte AWS donné. Il est recommandé de supprimer toutes les clés d’accès associées au compte d’utilisateur « root ».

La suppression des clés d’accès associées au compte d’utilisateur « racine » limite les vecteurs par lesquels le compte peut être compromis. En outre, la suppression des clés d’accès « racine » encourage la création et l’utilisation de comptes basés sur les rôles qui sont les moins privilégiés.

Le compte d’utilisateur « racine » est l’utilisateur ayant le plus de privilèges dans un compte AWS. L’authentification multifacteur (MFA) ajoute une couche de protection supplémentaire en plus d’un nom d’utilisateur et d’un mot de passe. Lorsque l’authentification multifacteur est activée, lorsqu’un utilisateur se connecte à un site Web AWS, il est invité à saisir son nom d’utilisateur et son mot de passe ainsi qu’un code d’authentification depuis son appareil AWS MFA.

L’activation de la MFA offre une sécurité accrue pour l’accès à la console, car elle nécessite que le principal authentifiant possède un appareil qui émet une clé urgente et qu’il ait connaissance d’un identifiant.

Le compte d’utilisateur « racine » est l’utilisateur ayant le plus de privilèges dans un compte AWS. La MFA ajoute une couche de protection supplémentaire en plus d’un nom d’utilisateur et d’un mot de passe. Lorsque l’authentification multifacteur est activée, lorsqu’un utilisateur se connecte à un site Web AWS, il est invité à saisir son nom d’utilisateur et son mot de passe ainsi qu’un code d’authentification depuis son appareil AWS MFA. Pour le niveau 2, il est recommandé que le compte d’utilisateur « racine » soit protégé par un MFA matériel.

Une MFA matérielle a une surface d’attaque plus petite qu’une MFA virtuelle. Par exemple, une MFA matérielle ne subit pas la surface d’attaque introduite par le smartphone mobile sur lequel réside une MFA virtuelle.

Avec la création d’un compte AWS, un « utilisateur racine » est créé et ne peut pas être désactivé ou supprimé. Cet utilisateur dispose d’un accès et d’un contrôle illimités sur toutes les ressources du compte AWS. Il est fortement recommandé d’éviter l’utilisation de ce compte pour les tâches quotidiennes.

L’utilisateur racine a un accès illimité et un contrôle sur toutes les ressources du compte. Son utilisation est incompatible avec les principes de moindre privilège et de séparation des tâches, et peut entraîner un préjudice inutile en raison d’une erreur ou d’une compromission du compte.

Les politiques de mot de passe sont, en partie, utilisées pour faire respecter les exigences de complexité des mots de passe. Les politiques de mot de passe IAM peuvent être utilisées pour garantir que les mots de passe ont au moins une longueur donnée. Il est recommandé que la politique de mot de passe exige une longueur minimale de mot de passe de 14.

La définition d’une politique de complexité des mots de passe augmente la résilience du compte contre les tentatives de connexion par force brute.

Les politiques de mot de passe IAM peuvent empêcher la réutilisation d’un mot de passe donné par le même utilisateur. Il est recommandé que la politique de mot de passe empêche la réutilisation des mots de passe.

Empêcher la réutilisation des mots de passe augmente la résilience du compte contre les tentatives de connexion par force brute.

Amazon S3 propose des fonctionnalités Bloquer l’accès public (paramètres de catégorie) et Bloquer l’accès public (paramètres du compte) pour vous aider à gérer l’accès public aux ressources Amazon S3. Par défaut, les compartiments et objets S3 sont créés avec l’accès public désactivé. Toutefois, un principal IAM disposant d’autorisations S3 suffisantes peut activer l’accès public au niveau de la catégorie et/ou de l’objet. Lorsqu’elle est activée, l’option Bloquer l’accès public (paramètres de catégorie) empêche une catégorie individuelle et les objets qu’elle contient de devenir publiquement accessibles. De même, Bloquer l’accès public (paramètres du compte) empêche tous les compartiments et objets contenus de devenir publiquement accessibles sur l’ensemble du compte.

Le blocage de l’accès public à Amazon S3 (paramètres de catégorie) empêche l’exposition publique accidentelle ou malveillante des données contenues dans la ou les catégories respectives.

Le blocage de l’accès public à Amazon S3 (paramètres du compte) empêche l’exposition publique accidentelle ou malveillante des données contenues dans toutes les catégories du compte AWS respectif.

La décision organisationnelle de bloquer l’accès public à tous les compartiments ou à certains compartiments doit être basée sur la sensibilité des données, le moindre privilège et le cas d’utilisation.

Les opérations d’API au niveau de l’objet S3 telles que GetObject, DeleteObject et PutObject sont appelées événements de données. Par défaut, les pistes CloudTrail n’enregistrent pas d’événements de données, il est donc recommandé de

activer la journalisation au niveau de l’objet pour les catégories S3.

Justification:

L’activation de la journalisation au niveau de l’objet vous aidera à répondre aux exigences de conformité des données au sein de votre organisation, à effectuer une analyse de sécurité complète, à surveiller les modèles spécifiques d’utilisateur

comportement dans votre compte AWS ou effectuez des actions immédiates sur toute activité d’API au niveau de l’objet dans vos compartiments S3 à l’aide d’Amazon CloudWatch Events.

Les opérations d’API au niveau de l’objet S3 telles que GetObject, DeleteObject et PutObject sont appelées événements de données. Par défaut, les pistes CloudTrail n’enregistrent pas d’événements de données, il est donc recommandé de

activer la journalisation au niveau de l’objet pour les catégories S3.

Justification:

L’activation de la journalisation au niveau de l’objet vous aidera à répondre aux exigences de conformité des données au sein de votre organisation, à effectuer une analyse de sécurité complète, à surveiller les modèles spécifiques d’utilisateur

comportement dans votre compte AWS ou effectuez des actions immédiates sur toute activité d’API au niveau de l’objet à l’aide d’Amazon CloudWatch Events.

La fonction de liste de contrôle d’accès au réseau (NACL) fournit un filtrage sans état du trafic réseau d’entrée et de sortie vers les ressources AWS. Il est recommandé qu’aucune NACL ne permette un accès d’entrée illimité aux ports d’administration de serveurs distants, tels que SSH vers le port 22 et RDP vers le port 3389.

L’accès public aux ports d’administration de serveurs distants, tels que 22 et 3389, augmente la surface d’attaque des ressources et augmente inutilement le risque de compromission des ressources.