Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk IAM
AWS Security Hub Kontrol ini mengevaluasi AWS Identity and Access Management (IAM) layanan dan sumber daya.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[IAM.1] IAM kebijakan tidak boleh mengizinkan hak administratif “*” penuh
Persyaratan terkait: PCI DSS v3.2.1/7.2.1, Tolok Ukur CIS AWS Yayasan v1.2.0/1.22, Tolok Ukur CIS AWS Yayasan v1.4.0/1.16,, NIST.800-53.r5 AC-2 (1),, (15) NIST.800-53.r5 AC-2, (7),, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (10), (2), NIST.800-53.r5 AC-3 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::IAM::Policy
AWS Config aturan: iam-policy-no-statements-with-admin-access
Jenis jadwal: Perubahan dipicu
Parameter:
excludePermissionBoundaryPolicy: true
(tidak dapat disesuaikan)
Kontrol ini memeriksa apakah versi default IAM kebijakan (juga dikenal sebagai kebijakan yang dikelola pelanggan) memiliki akses administrator dengan menyertakan pernyataan dengan "Effect": "Allow"
with "Action": "*"
over"Resource": "*"
. Kontrol gagal jika Anda memiliki IAM kebijakan dengan pernyataan seperti itu.
Kontrol hanya memeriksa kebijakan terkelola pelanggan yang Anda buat. Itu tidak memeriksa kebijakan sebaris dan AWS terkelola.
IAMkebijakan menentukan serangkaian hak istimewa yang diberikan kepada pengguna, grup, atau peran. Mengikuti saran keamanan standar, AWS merekomendasikan agar Anda memberikan hak istimewa paling sedikit, yang berarti hanya memberikan izin yang diperlukan untuk melakukan tugas. Bila Anda memberikan hak administratif penuh alih-alih set izin minimum yang dibutuhkan pengguna, Anda mengekspos sumber daya ke tindakan yang mungkin tidak diinginkan.
Alih-alih mengizinkan hak administratif penuh, tentukan apa yang perlu dilakukan pengguna dan kemudian buat kebijakan yang memungkinkan pengguna hanya melakukan tugas-tugas tersebut. Lebih aman untuk memulai dengan set izin minimum dan memberikan izin tambahan seperlunya. Jangan mulai dengan izin yang terlalu lunak dan kemudian coba kencangkan nanti.
Anda harus menghapus IAM kebijakan yang memiliki pernyataan "Effect": "Allow"
dengan "Action": "*"
over"Resource": "*"
.
catatan
AWS Config harus diaktifkan di semua Wilayah tempat Anda menggunakan Security Hub. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.
Remediasi
Untuk mengubah IAM kebijakan Anda sehingga kebijakan tersebut tidak mengizinkan hak administratif “*” penuh, lihat IAMKebijakan pengeditan di Panduan IAM Pengguna.
[IAM.2] IAM pengguna tidak boleh memiliki IAM kebijakan yang dilampirkan
Persyaratan terkait: PCI DSS v3.2.1/7.2.1, Tolok Ukur CIS AWS Yayasan v3.0.0/1.15, Tolok Ukur CIS AWS Yayasan v1.2.0/1.16,, (1),, (15), (7), NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (3) NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::IAM::User
AWS Config aturan: iam-user-no-policies-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah IAM pengguna Anda memiliki kebijakan yang dilampirkan. Kontrol gagal jika IAM pengguna Anda memiliki kebijakan yang dilampirkan. Sebagai gantinya, IAM pengguna harus mewarisi izin dari IAM grup atau mengambil peran.
Secara default, IAM pengguna, grup, dan peran tidak memiliki akses ke AWS sumber daya. IAMkebijakan memberikan hak istimewa kepada pengguna, grup, atau peran. Kami menyarankan Anda menerapkan IAM kebijakan langsung ke grup dan peran tetapi tidak untuk pengguna. Menetapkan hak istimewa di grup atau tingkat peran mengurangi kompleksitas manajemen akses seiring bertambahnya jumlah pengguna. Mengurangi kompleksitas manajemen akses pada gilirannya dapat mengurangi kesempatan bagi kepala sekolah untuk secara tidak sengaja menerima atau mempertahankan hak istimewa yang berlebihan.
catatan
AWS Config harus diaktifkan di semua Wilayah tempat Anda menggunakan Security Hub. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.
Remediasi
Untuk mengatasi masalah ini, buat IAM grup, dan lampirkan kebijakan ke grup. Kemudian, tambahkan pengguna ke grup. Kebijakan ini diterapkan untuk setiap pengguna dalam grup. Untuk menghapus kebijakan yang dilampirkan langsung ke pengguna, lihat Menambahkan dan menghapus izin IAM identitas di Panduan IAM Pengguna.
[IAM.3] Kunci akses IAM pengguna harus diputar setiap 90 hari atau kurang
Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v3.0.0/1.14, Tolok Ukur Yayasan v1.4.0/1.14, Tolok Ukur CIS AWS Yayasan v1.2.0/1.4, (1), (3), CIS AWS (15), v4.0.1/8.3.9, NIST.800-53.r5 AC-2 v4.0.1/8.6.3 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 PCI DSS PCI DSS
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::IAM::User
AWS Config aturan: access-keys-rotated
Jenis jadwal: Periodik
Parameter:
-
maxAccessKeyAge
:90
(tidak dapat disesuaikan)
Kontrol ini memeriksa apakah kunci akses aktif diputar dalam 90 hari.
Kami sangat menyarankan agar Anda tidak membuat dan menghapus semua kunci akses di akun Anda. Sebaliknya, praktik terbaik yang disarankan adalah membuat satu atau lebih IAM peran atau menggunakan federasi
Setiap pendekatan memiliki kasus penggunaannya. Federasi umumnya lebih baik untuk perusahaan yang memiliki direktori pusat yang ada atau berencana untuk membutuhkan lebih dari batas saat ini pada IAM pengguna. Aplikasi yang berjalan di luar AWS lingkungan membutuhkan kunci akses untuk akses terprogram ke AWS sumber daya.
Namun, jika sumber daya yang membutuhkan akses terprogram berjalan di dalam AWS, praktik terbaik adalah menggunakan IAM peran. Peran memungkinkan Anda untuk memberikan akses sumber daya tanpa hardcoding ID kunci akses dan kunci akses rahasia ke dalam konfigurasi.
Untuk mempelajari selengkapnya tentang melindungi kunci akses dan akun Anda, lihat Praktik terbaik untuk mengelola kunci AWS akses di Referensi Umum AWS. Lihat juga pedoman posting blog untuk melindungi Anda Akun AWS saat menggunakan akses terprogram
Jika Anda sudah memiliki kunci akses, Security Hub merekomendasikan agar Anda memutar kunci akses setiap 90 hari. Memutar kunci akses mengurangi kemungkinan kunci akses yang terkait dengan akun yang disusupi atau dihentikan digunakan. Ini juga memastikan bahwa data tidak dapat diakses dengan kunci lama yang mungkin telah hilang, retak, atau dicuri. Selalu perbarui aplikasi Anda setelah Anda memutar tombol akses.
Kunci akses terdiri dari ID kunci akses dan kunci akses rahasia. Mereka digunakan untuk menandatangani permintaan terprogram yang Anda buat. AWS Pengguna memerlukan kunci akses mereka sendiri untuk melakukan panggilan terprogram ke AWS dari AWS CLI, Alat untuk Windows PowerShell AWS SDKs, atau HTTP panggilan langsung menggunakan API operasi untuk individu Layanan AWS.
Jika organisasi Anda menggunakan AWS IAM Identity Center (Pusat IAM Identitas), pengguna Anda dapat masuk ke Active Directory, direktori Pusat IAM Identitas bawaan, atau penyedia identitas lain (iDP) yang terhubung ke Pusat IAM Identitas. Mereka kemudian dapat dipetakan ke IAM peran yang memungkinkan mereka untuk menjalankan AWS CLI perintah atau memanggil AWS API operasi tanpa perlu kunci akses. Untuk mempelajari selengkapnya, lihat Mengonfigurasi yang AWS CLI akan digunakan AWS IAM Identity Center dalam Panduan AWS Command Line Interface Pengguna.
catatan
AWS Config harus diaktifkan di semua Wilayah tempat Anda menggunakan Security Hub. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.
Remediasi
Untuk memutar tombol akses yang lebih tua dari 90 hari, lihat Memutar tombol akses di Panduan IAM Pengguna. Ikuti petunjuk untuk setiap pengguna dengan usia kunci Access lebih dari 90 hari.
[IAM.4] kunci akses pengguna IAM root seharusnya tidak ada
Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v3.0.0/1.4, Tolok Ukur CIS AWS Yayasan v1.4.0/1.4, Tolok Ukur CIS AWS Yayasan v1.2.0/1.12, v3.2.1/2.1, PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, (1), (15), (7),, (10), PCI DSS (2) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Kritis
Jenis sumber daya: AWS::::Account
AWS Config aturan: iam-root-access-key-check
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah kunci akses pengguna root ada.
Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. AWS kunci akses menyediakan akses terprogram ke akun tertentu.
Security Hub merekomendasikan agar Anda menghapus semua kunci akses yang terkait dengan pengguna root. Ini membatasi vektor yang dapat digunakan untuk membahayakan akun Anda. Ini juga mendorong pembuatan dan penggunaan akun berbasis peran yang paling tidak memiliki hak istimewa.
Remediasi
Untuk menghapus kunci akses pengguna root, lihat Menghapus kunci akses untuk pengguna root di Panduan IAM Pengguna. Untuk menghapus kunci akses pengguna root dari Akun AWS dalam AWS GovCloud (US), lihat Menghapus kunci akses pengguna root AWS GovCloud (US) akun saya di Panduan AWS GovCloud (US) Pengguna.
[IAM.5] MFA harus diaktifkan untuk semua IAM pengguna yang memiliki kata sandi konsol
Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v3.0.0/1.10, Tolok Ukur CIS AWS Yayasan v1.4.0/1.10, Tolok Ukur CIS AWS Yayasan v1.2.0/1.2, (1), (15), NIST.800-53.r5 AC-2 (1), (2), (6), NIST.800-53.r5 AC-3 (8), NIST.800-53.r5 IA-2 v4.0.1/8.4.2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 PCI DSS
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::IAM::User
AWS Config aturan: mfa-enabled-for-iam-console-access
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah otentikasi AWS multi-faktor (MFA) diaktifkan untuk semua IAM pengguna yang menggunakan kata sandi konsol.
Otentikasi multi-faktor (MFA) menambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Dengan MFA diaktifkan, ketika pengguna masuk ke AWS situs web, mereka diminta untuk nama pengguna dan kata sandi mereka. Selain itu, mereka diminta untuk kode otentikasi dari perangkat mereka AWS MFA.
Kami menyarankan Anda mengaktifkan MFA semua akun yang memiliki kata sandi konsol. MFAdirancang untuk memberikan peningkatan keamanan untuk akses konsol. Prinsipal otentikasi harus memiliki perangkat yang memancarkan kunci sensitif waktu dan harus memiliki pengetahuan tentang kredensi.
catatan
AWS Config harus diaktifkan di semua Wilayah tempat Anda menggunakan Security Hub. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.
Remediasi
MFAUntuk menambahkan IAM pengguna, lihat Menggunakan otentikasi multi-faktor (MFA) AWS di IAM Panduan Pengguna.
Kami menawarkan kunci MFA keamanan gratis untuk pelanggan yang memenuhi syarat. Lihat apakah Anda memenuhi syarat, dan pesan kunci gratis Anda
[IAM.6] Perangkat keras MFA harus diaktifkan untuk pengguna root
Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v3.0.0/1.6, Tolok Ukur CIS AWS Yayasan v1.4.0/1.6, Tolok Ukur CIS AWS Yayasan v1.2.0/1.14, PCI DSS v3.2.1/8.3.1, (1), (15), NIST.800-53.r5 AC-2 (1), (2), (6), (8), NIST.800-53.r5 AC-3 v4.0.1/8.4.2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 PCI DSS
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Kritis
Jenis sumber daya: AWS::::Account
AWS Config aturan: root-account-hardware-mfa-enabled
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah Anda Akun AWS diaktifkan untuk menggunakan perangkat autentikasi multi-faktor perangkat keras (MFA) untuk masuk dengan kredenal pengguna root. Kontrol gagal jika MFA tidak diaktifkan atau jika ada MFA perangkat virtual yang diizinkan untuk masuk dengan kredensi pengguna root.
Virtual MFA mungkin tidak memberikan tingkat keamanan yang sama dengan MFA perangkat keras. Kami menyarankan Anda hanya menggunakan MFA perangkat virtual saat Anda menunggu persetujuan pembelian perangkat keras atau perangkat keras Anda tiba. Untuk mempelajari lebih lanjut, lihat Mengaktifkan perangkat autentikasi (MFA) multi-faktor virtual (konsol) di Panduan Pengguna. IAM
Token kata sandi satu kali berbasis waktu (TOTP) dan Universal 2nd Factor (U2F) dapat digunakan sebagai opsi perangkat keras. MFA
Remediasi
Untuk menambahkan MFA perangkat keras untuk pengguna root, lihat Mengaktifkan MFA perangkat keras untuk pengguna Akun AWS root (konsol) di Panduan IAM Pengguna.
Kami menawarkan kunci MFA keamanan gratis untuk pelanggan yang memenuhi syarat. Lihat apakah Anda memenuhi syarat, dan pesan kunci gratis Anda
[IAM.7] Kebijakan kata sandi untuk IAM pengguna harus memiliki konfigurasi yang kuat
Persyaratan terkait: NIST.800-53.r5 AC-2 (1), (3), NIST.800-53.r5 AC-2 (15), NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-5 (1), v4.0.1/8.3.6, PCI DSS v4.0.1/8.3.7 PCI DSS
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::::Account
AWS Config aturan: iam-password-policy
Jenis jadwal: Periodik
Parameter:
Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
---|---|---|---|---|
|
Memerlukan setidaknya satu karakter huruf besar dalam kata sandi |
Boolean |
|
|
|
Memerlukan setidaknya satu karakter huruf kecil dalam kata sandi |
Boolean |
|
|
|
Memerlukan setidaknya satu simbol dalam kata sandi |
Boolean |
|
|
|
Memerlukan setidaknya satu nomor dalam kata sandi |
Boolean |
|
|
|
Jumlah minimum karakter dalam kata sandi |
Bilangan Bulat |
|
|
|
Jumlah rotasi kata sandi sebelum kata sandi lama dapat digunakan kembali |
Bilangan Bulat |
|
Tidak ada nilai default |
|
Jumlah hari sebelum kedaluwarsa kata sandi |
Bilangan Bulat |
|
Tidak ada nilai default |
Kontrol ini memeriksa apakah kebijakan kata sandi akun untuk IAM pengguna menggunakan konfigurasi yang kuat. Kontrol gagal jika kebijakan kata sandi tidak menggunakan konfigurasi yang kuat. Kecuali Anda memberikan nilai parameter kustom, Security Hub menggunakan nilai default yang disebutkan dalam tabel sebelumnya. MaxPasswordAge
Parameter PasswordReusePrevention
dan tidak memiliki nilai default, jadi jika Anda mengecualikan parameter ini, Security Hub mengabaikan jumlah rotasi kata sandi dan usia kata sandi saat mengevaluasi kontrol ini.
Untuk mengakses AWS Management Console, IAM pengguna memerlukan kata sandi. Sebagai praktik terbaik, Security Hub sangat merekomendasikan bahwa alih-alih membuat IAM pengguna, Anda menggunakan federasi. Federasi memungkinkan pengguna untuk menggunakan kredensi perusahaan mereka yang ada untuk masuk ke. AWS Management Console Gunakan AWS IAM Identity Center (Pusat IAM Identitas) untuk membuat atau menyatukan pengguna, dan kemudian mengambil IAM peran ke dalam akun.
Untuk mempelajari selengkapnya tentang penyedia identitas dan federasi, lihat Penyedia identitas dan federasi di Panduan IAM Pengguna. Untuk mempelajari lebih lanjut tentang Pusat IAM Identitas, lihat Panduan AWS IAM Identity Center Pengguna.
Jika Anda perlu menggunakan IAM pengguna, Security Hub menyarankan agar Anda menerapkan pembuatan kata sandi pengguna yang kuat. Anda dapat menetapkan kebijakan kata sandi Akun AWS untuk menentukan persyaratan kompleksitas dan periode rotasi wajib untuk kata sandi. Saat Anda membuat atau mengubah kebijakan kata sandi, sebagian besar pengaturan kebijakan kata sandi diberlakukan saat pengguna mengubah kata sandi mereka berikutnya. Beberapa pengaturan diberlakukan segera.
Remediasi
Untuk memperbarui kebijakan kata sandi, lihat Menyetel kebijakan kata sandi akun untuk IAM pengguna di Panduan IAM Pengguna.
[IAM.8] Kredensi IAM pengguna yang tidak digunakan harus dihapus
Persyaratan terkait: PCI DSS v3.2.1/8.1.4, PCI DSS v4.0.1/8.2.6, Tolok Ukur CIS AWS Yayasan v1.2.0/1.3,, NIST.800-53.r5 AC-2 (1), (3),, (15) NIST.800-53.r5 AC-2, (7), NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::IAM::User
AWS Config aturan: iam-user-unused-credentials-check
Jenis jadwal: Periodik
Parameter:
-
maxCredentialUsageAge
:90
(tidak dapat disesuaikan)
Kontrol ini memeriksa apakah IAM pengguna Anda memiliki kata sandi atau kunci akses aktif yang belum digunakan selama 90 hari.
IAMpengguna dapat mengakses AWS sumber daya menggunakan berbagai jenis kredensil, seperti kata sandi atau kunci akses.
Security Hub menyarankan agar Anda menghapus atau menonaktifkan semua kredensil yang tidak digunakan selama 90 hari atau lebih. Menonaktifkan atau menghapus kredensi yang tidak perlu mengurangi jendela peluang untuk kredensi yang terkait dengan akun yang disusupi atau ditinggalkan untuk digunakan.
catatan
AWS Config harus diaktifkan di semua Wilayah tempat Anda menggunakan Security Hub. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.
Remediasi
Saat Anda melihat informasi pengguna di IAM konsol, ada kolom untuk usia kunci Access, Usia kata sandi, dan Aktivitas terakhir. Jika nilai di salah satu kolom ini lebih besar dari 90 hari, buat kredensil untuk pengguna tersebut tidak aktif.
Anda juga dapat menggunakan laporan kredensi untuk memantau pengguna dan mengidentifikasi mereka yang tidak memiliki aktivitas selama 90 hari atau lebih. Anda dapat mengunduh laporan kredensi dalam .csv
format dari IAM konsol.
Setelah Anda mengidentifikasi akun yang tidak aktif atau kredensi yang tidak digunakan, nonaktifkan akun tersebut. Untuk petunjuk, lihat Membuat, mengubah, atau menghapus kata sandi IAM pengguna (konsol) di Panduan IAM Pengguna.
[IAM.9] MFA harus diaktifkan untuk pengguna root
Persyaratan terkait: PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, Tolok Ukur Yayasan v3.0.0/1.5, Tolok Ukur CIS AWS Yayasan v1.4.0/1.5, Tolok Ukur CIS AWS Yayasan v1.2.0/1.13, (1), (15), CIS AWS (1), (2), (6), (8) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Kritis
Jenis sumber daya: AWS::::Account
AWS Config aturan: root-account-mfa-enabled
Jenis jadwal: Periodik
Parameter: Tidak ada
Pengguna root memiliki akses lengkap ke semua layanan dan sumber daya dalam file Akun AWS. MFAmenambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Dengan MFA diaktifkan, ketika pengguna masuk ke AWS Management Console, mereka akan diminta untuk nama pengguna dan kata sandi mereka dan untuk kode otentikasi dari perangkat mereka AWS MFA.
Bila Anda menggunakan virtual MFA untuk pengguna root, CIS merekomendasikan bahwa perangkat yang digunakan bukan perangkat pribadi. Sebagai gantinya, gunakan perangkat seluler khusus (tablet atau ponsel) yang Anda kelola untuk tetap terisi daya dan diamankan terlepas dari perangkat pribadi individu mana pun. Ini mengurangi risiko kehilangan akses ke perangkat MFA karena kehilangan perangkat, pertukaran perangkat, atau jika individu yang memiliki perangkat tidak lagi dipekerjakan di perusahaan.
Remediasi
MFAUntuk mengaktifkan pengguna root, lihat Aktifkan MFA pada pengguna Akun AWS root di Panduan Referensi Manajemen AWS Akun.
[IAM.10] Kebijakan kata sandi untuk IAM pengguna harus memiliki urasi yang kuat AWS Config
Persyaratan terkait: PCI DSS v3.2.1/8.1.4, v3.2.1/8.2.3, v3.2.1/8.2.4, v3.2.1/8.2.5, PCI DSS v4.0.1/8.3.6 PCI DSS PCI DSS PCI DSS
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::::Account
AWS Config aturan: iam-password-policy
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah kebijakan kata sandi akun untuk IAM pengguna menggunakan PCI DSS konfigurasi minimum berikut.
-
RequireUppercaseCharacters
— Memerlukan setidaknya satu karakter huruf besar dalam kata sandi. (Default =true
) -
RequireLowercaseCharacters
— Memerlukan setidaknya satu karakter huruf kecil dalam kata sandi. (Default =true
) -
RequireNumbers
— Memerlukan setidaknya satu nomor dalam kata sandi. (Default =true
) -
MinimumPasswordLength
— Panjang minimum kata sandi. (Default = 7 atau lebih) -
PasswordReusePrevention
— Jumlah kata sandi sebelum mengizinkan penggunaan kembali. (Default = 4) -
MaxPasswordAge
— Jumlah hari sebelum kedaluwarsa kata sandi. (Default = 90)
Remediasi
Untuk memperbarui kebijakan kata sandi agar menggunakan konfigurasi yang disarankan, lihat Menyetel kebijakan kata sandi akun untuk IAM pengguna di Panduan IAM Pengguna.
[IAM.11] Pastikan kebijakan IAM kata sandi memerlukan setidaknya satu huruf besar
Persyaratan terkait: CIS AWS Yayasan Benchmark v1.2.0/1.5, v4.0.1/8.3.6 PCI DSS
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::::Account
AWS Config aturan: iam-password-policy
Jenis jadwal: Periodik
Parameter: Tidak ada
Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan IAM kata sandi untuk memastikan bahwa kata sandi menggunakan kumpulan karakter yang berbeda.
CISmerekomendasikan bahwa kebijakan kata sandi memerlukan setidaknya satu huruf besar. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.
Remediasi
Untuk mengubah kebijakan kata sandi, lihat Menyetel kebijakan kata sandi akun untuk IAM pengguna di Panduan IAM Pengguna. Untuk kekuatan Kata Sandi, pilih Memerlukan setidaknya satu huruf besar dari alfabet Latin (A—Z).
[IAM.12] Pastikan kebijakan IAM kata sandi memerlukan setidaknya satu huruf kecil
Persyaratan terkait: CIS AWS Yayasan Benchmark v1.2.0/1.6, v4.0.1/8.3.6 PCI DSS
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::::Account
AWS Config aturan: iam-password-policy
Jenis jadwal: Periodik
Parameter: Tidak ada
Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan IAM kata sandi untuk memastikan bahwa kata sandi menggunakan kumpulan karakter yang berbeda. CISmerekomendasikan bahwa kebijakan kata sandi memerlukan setidaknya satu huruf kecil. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.
Remediasi
Untuk mengubah kebijakan kata sandi, lihat Menyetel kebijakan kata sandi akun untuk IAM pengguna di Panduan IAM Pengguna. Untuk kekuatan Kata Sandi, pilih Memerlukan setidaknya satu huruf kecil dari alfabet Latin (A—Z).
[IAM.13] Pastikan kebijakan IAM kata sandi memerlukan setidaknya satu simbol
Persyaratan terkait: CIS AWS Yayasan Benchmark v1.2.0/1.7, v4.0.1/8.3.6 PCI DSS
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::::Account
AWS Config aturan: iam-password-policy
Jenis jadwal: Periodik
Parameter: Tidak ada
Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan IAM kata sandi untuk memastikan bahwa kata sandi menggunakan kumpulan karakter yang berbeda.
CISmerekomendasikan bahwa kebijakan kata sandi memerlukan setidaknya satu simbol. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.
Remediasi
Untuk mengubah kebijakan kata sandi, lihat Menyetel kebijakan kata sandi akun untuk IAM pengguna di Panduan IAM Pengguna. Untuk kekuatan Password, pilih Memerlukan setidaknya satu karakter nonalfanumerik.
[IAM.14] Pastikan kebijakan IAM kata sandi membutuhkan setidaknya satu nomor
Persyaratan terkait: CIS AWS Yayasan Benchmark v1.2.0/1.8, v4.0.1/8.3.6 PCI DSS
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::::Account
AWS Config aturan: iam-password-policy
Jenis jadwal: Periodik
Parameter: Tidak ada
Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan IAM kata sandi untuk memastikan bahwa kata sandi menggunakan kumpulan karakter yang berbeda.
CISmerekomendasikan bahwa kebijakan kata sandi memerlukan setidaknya satu nomor. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.
Remediasi
Untuk mengubah kebijakan kata sandi, lihat Menyetel kebijakan kata sandi akun untuk IAM pengguna di Panduan IAM Pengguna. Untuk kekuatan Kata Sandi, pilih Memerlukan setidaknya satu nomor.
[IAM.15] Pastikan kebijakan IAM kata sandi memerlukan panjang kata sandi minimum 14 atau lebih
Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v3.0.0/1.8, Tolok Ukur Yayasan v1.4.0/1.8, Tolok Ukur CIS AWS Yayasan v1.2.0/1.9 CIS AWS
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::::Account
AWS Config aturan: iam-password-policy
Jenis jadwal: Periodik
Parameter: Tidak ada
Kebijakan kata sandi, sebagian, menegakkan persyaratan kompleksitas kata sandi. Gunakan kebijakan IAM kata sandi untuk memastikan bahwa kata sandi setidaknya memiliki panjang tertentu.
CISmerekomendasikan bahwa kebijakan kata sandi memerlukan panjang kata sandi minimum 14 karakter. Menyetel kebijakan kompleksitas kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.
Remediasi
Untuk mengubah kebijakan kata sandi, lihat Menyetel kebijakan kata sandi akun untuk IAM pengguna di Panduan IAM Pengguna. Untuk panjang minimum Kata Sandi, masukkan 14
atau nomor yang lebih besar.
[IAM.16] Pastikan kebijakan IAM kata sandi mencegah penggunaan kembali kata sandi
Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v3.0.0/1.9, Tolok Ukur Yayasan v1.4.0/1.9, Tolok Ukur CIS AWS Yayasan v1.2.0/1.10, v4.0.1/8.3.7 CIS AWS PCI DSS
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::::Account
AWS Config aturan: iam-password-policy
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah jumlah kata sandi yang harus diingat diatur ke 24. Kontrol gagal jika nilainya tidak 24.
IAMKebijakan kata sandi dapat mencegah penggunaan kembali kata sandi yang diberikan oleh pengguna yang sama.
CISmerekomendasikan agar kebijakan kata sandi mencegah penggunaan kembali kata sandi. Mencegah penggunaan kembali kata sandi meningkatkan ketahanan akun terhadap upaya login brute force.
Remediasi
Untuk mengubah kebijakan kata sandi, lihat Menyetel kebijakan kata sandi akun untuk IAM pengguna di Panduan IAM Pengguna. Untuk Mencegah penggunaan kembali kata sandi, masukkan24
.
[IAM.17] Pastikan kebijakan IAM kata sandi kedaluwarsa kata sandi dalam waktu 90 hari atau kurang
Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v1.2.0/1.11, v4.0.1/8.3.9 PCI DSS
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::::Account
AWS Config aturan: iam-password-policy
Jenis jadwal: Periodik
Parameter: Tidak ada
IAMKebijakan kata sandi dapat mengharuskan kata sandi diputar atau kedaluwarsa setelah beberapa hari tertentu.
CISmerekomendasikan agar kebijakan kata sandi kedaluwarsa kata sandi setelah 90 hari atau kurang. Mengurangi masa pakai kata sandi meningkatkan ketahanan akun terhadap upaya login brute force. Memerlukan perubahan kata sandi reguler juga membantu dalam skenario berikut:
-
Kata sandi dapat dicuri atau dikompromikan tanpa sepengetahuan Anda. Ini dapat terjadi melalui kompromi sistem, kerentanan perangkat lunak, atau ancaman internal.
-
Filter web perusahaan dan pemerintah tertentu atau server proxy dapat mencegat dan merekam lalu lintas bahkan jika itu dienkripsi.
-
Banyak orang menggunakan kata sandi yang sama untuk banyak sistem seperti pekerjaan, email, dan pribadi.
-
Workstation pengguna akhir yang dikompromikan mungkin memiliki keystroke logger.
Remediasi
Untuk mengubah kebijakan kata sandi, lihat Menyetel kebijakan kata sandi akun untuk IAM pengguna di Panduan IAM Pengguna. Untuk Aktifkan kedaluwarsa kata sandi, masukkan 90
atau nomor yang lebih kecil.
[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan Support
Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v3.0.0/1.17, Tolok Ukur Yayasan v1.4.0/1.17, Tolok Ukur CIS AWS Yayasan v1.2.0/1.20, v4.0.1/12.10.3 CIS AWS PCI DSS
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::::Account
AWS Config aturan: iam-policy-in-use
Jenis jadwal: Periodik
Parameter:
policyARN
:arn:
(tidak dapat disesuaikan)partition
:iam::aws:policy/AWSSupportAccesspolicyUsageType
:ANY
(tidak dapat disesuaikan)
AWS menyediakan pusat dukungan yang dapat digunakan untuk pemberitahuan dan respons insiden, serta dukungan teknis dan layanan pelanggan.
Buat IAM peran untuk memungkinkan pengguna yang berwenang mengelola insiden dengan AWS Support. Dengan menerapkan hak istimewa terkecil untuk kontrol akses, IAM peran akan memerlukan IAM kebijakan yang tepat untuk memungkinkan akses pusat dukungan untuk mengelola insiden dengan. Support
catatan
AWS Config harus diaktifkan di semua Wilayah tempat Anda menggunakan Security Hub. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.
Remediasi
Untuk mengatasi masalah ini, buat peran untuk memungkinkan pengguna yang berwenang mengelola Support insiden.
Untuk membuat peran yang akan digunakan untuk Support akses
Buka konsol IAM di https://console.aws.amazon.com/iam/
. -
Di panel IAM navigasi, pilih Peran, lalu pilih Buat peran.
-
Untuk tipe Peran, pilih Yang Lain Akun AWS.
-
Untuk ID Akun, masukkan Akun AWS ID yang Akun AWS ingin Anda berikan akses ke sumber daya Anda.
Jika pengguna atau grup yang akan mengambil peran ini berada di akun yang sama, maka masukkan nomor akun lokal.
catatan
Administrator akun yang ditentukan dapat memberikan izin untuk mengasumsikan peran ini kepada setiap pengguna dalam akun tersebut. Untuk melakukannya, administrator melampirkan kebijakan kepada pengguna atau grup yang memberikan izin untuk tindakan
sts:AssumeRole
. Dalam kebijakan itu, sumber daya harus menjadi peranARN. -
Pilih Berikutnya: Izin.
-
Cari kebijakan terkelola
AWSSupportAccess
. -
Pilih kotak centang untuk kebijakan
AWSSupportAccess
terkelola. -
Pilih Berikutnya: Tag
-
(Opsional) Untuk menambahkan metadata ke peran, lampirkan tag sebagai pasangan nilai kunci.
Untuk informasi selengkapnya tentang penggunaan tag diIAM, lihat Menandai IAM pengguna dan peran di Panduan IAM Pengguna.
-
Pilih Berikutnya: Tinjauan.
-
Untuk Nama peran, masukkan nama peran Anda.
Nama peran harus unik dalam diri Anda Akun AWS. Mereka tidak peka huruf besar/kecil.
-
(Opsional) Untuk Deskripsi peran, masukkan deskripsi.
-
Tinjau peran, lalu pilih Buat peran.
[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM
Persyaratan terkait: PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, (1), NIST.800-53.r5 AC-2 (15), (1), NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 IA-2 (6), NIST.800-53.r5 IA-2 (8) NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::IAM::User
AWS Config aturan: iam-user-mfa-enabled
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah IAM pengguna mengaktifkan autentikasi multi-faktor (MFA).
catatan
AWS Config harus diaktifkan di semua Wilayah tempat Anda menggunakan Security Hub. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.
Remediasi
MFAUntuk menambahkan IAM pengguna, lihat Mengaktifkan MFA perangkat untuk pengguna AWS di Panduan IAM Pengguna.
[IAM.20] Hindari penggunaan pengguna root
penting
Security Hub menghentikan kontrol ini pada April 2024. Untuk informasi selengkapnya, lihat Ubah log untuk kontrol Security Hub.
Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v1.2.0/1.1
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::IAM::User
AWS Config aturan: use-of-root-account-test
(aturan Security Hub khusus)
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah a Akun AWS memiliki batasan pada penggunaan pengguna root. Kontrol mengevaluasi sumber daya berikut:
Topik Layanan Pemberitahuan Sederhana Amazon (AmazonSNS)
AWS CloudTrail jalan setapak
Filter metrik yang terkait dengan CloudTrail jejak
CloudWatch Alarm Amazon berdasarkan filter
Pemeriksaan ini menghasilkan FAILED
temuan jika satu atau beberapa pernyataan berikut benar:
Tidak ada CloudTrail jejak di akun.
CloudTrail Jejak diaktifkan, tetapi tidak dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis.
CloudTrail Jejak diaktifkan, tetapi tidak terkait dengan grup CloudWatch log Log.
Filter metrik yang tepat yang ditentukan oleh Center for Internet Security (CIS) tidak digunakan. Filter metrik yang ditentukan adalah
'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'
.Tidak ada CloudWatch alarm berdasarkan filter metrik di akun.
CloudWatch alarm yang dikonfigurasi untuk mengirim notifikasi ke SNS topik terkait tidak dipicu berdasarkan kondisi alarm.
SNSTopik tidak sesuai dengan batasan untuk mengirim pesan ke topik. SNS
SNSTopik tidak memiliki setidaknya satu pelanggan.
Pemeriksaan ini menghasilkan status kontrol NO_DATA
jika satu atau beberapa pernyataan berikut benar:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Pemeriksaan ini menghasilkan status kontrol WARNING
jika satu atau beberapa pernyataan berikut benar:
Akun saat ini tidak memiliki SNS topik yang direferensikan dalam CloudWatch alarm.
Akun saat ini tidak memiliki akses ke SNS topik saat menjalankan.
ListSubscriptionsByTopic
SNS API
catatan
Sebaiknya gunakan jejak organisasi untuk mencatat peristiwa dari banyak akun di suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_ DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.
Sebagai praktik terbaik, gunakan kredensil pengguna root Anda hanya jika diperlukan untuk melakukan tugas manajemen akun dan layanan. Terapkan IAM kebijakan secara langsung ke grup dan peran tetapi tidak untuk pengguna. Untuk petunjuk cara menyiapkan administrator untuk penggunaan sehari-hari, lihat Membuat pengguna dan grup IAM admin pertama Anda di Panduan IAM Pengguna.
Remediasi
Langkah-langkah untuk mengatasi masalah ini termasuk menyiapkan SNS topik Amazon, CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
Untuk membuat SNS topik Amazon
Buka SNS konsol Amazon di https://console.aws.amazon.com/sns/v3/home
. -
Buat SNS topik Amazon yang menerima semua CIS alarm.
Buat setidaknya satu pelanggan untuk topik tersebut. Untuk informasi selengkapnya, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon.
Selanjutnya, siapkan aktif CloudTrail yang berlaku untuk semua Wilayah. Untuk melakukannya, ikuti langkah-langkah remediasi di[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut.
Terakhir, buat filter metrik dan alarm.
Untuk membuat filter metrik dan alarm
Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/
. -
Pada panel navigasi, pilih Grup log.
-
Pilih kotak centang untuk grup CloudWatch log Log yang terkait dengan CloudTrail jejak yang Anda buat.
-
Dari Tindakan, pilih Buat Filter Metrik.
-
Di bawah Tentukan pola, lakukan hal berikut:
-
Salin pola berikut dan kemudian tempelkan ke bidang Filter Pattern.
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
-
Pilih Berikutnya.
-
-
Di bawah Tetapkan Metrik, lakukan hal berikut:
-
Di Nama filter, masukkan nama untuk filter metrik Anda.
-
Untuk Metric Namespace, masukkan.
LogMetrics
Jika Anda menggunakan namespace yang sama untuk semua filter metrik CIS log Anda, maka semua metrik CIS Benchmark dikelompokkan bersama.
-
Untuk Nama Metrik, masukkan nama untuk metrik. Ingat nama metrik. Anda harus memilih metrik saat membuat alarm.
-
Untuk Metric value (Nilai metrik), masukkan
1
. -
Pilih Berikutnya.
-
-
Di bawah Tinjau dan buat, verifikasi informasi yang Anda berikan untuk filter metrik baru. Kemudian, pilih Buat filter metrik.
-
Di panel navigasi, pilih Grup log, lalu pilih filter yang Anda buat di bawah Filter metrik.
-
Pilih kotak centang untuk filter. Pilih Buat alarm.
-
Di bawah Tentukan metrik dan kondisi, lakukan hal berikut:
-
Di bawah Kondisi, untuk Ambang, pilih Statis.
-
Untuk Tentukan kondisi alarm, pilih Greater/Equal.
-
Untuk Tentukan nilai ambang batas, masukkan
1
. -
Pilih Berikutnya.
-
-
Di bawah Konfigurasi tindakan, lakukan hal berikut:
-
Di bawah Pemicu status alarm, pilih Dalam alarm.
-
Di bawah Pilih SNS topik, pilih Pilih SNS topik yang ada.
-
Untuk Kirim pemberitahuan ke, masukkan nama SNS topik yang Anda buat di prosedur sebelumnya.
-
Pilih Berikutnya.
-
-
Di bawah Tambahkan nama dan deskripsi, masukkan Nama dan Deskripsi untuk alarm, seperti
CIS-1.1-RootAccountUsage
. Lalu pilih Berikutnya. -
Di bawah Pratinjau dan buat, tinjau konfigurasi alarm. Kemudian pilih Buat alarm.
[IAM.21] Kebijakan terkelola IAM pelanggan yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan
Persyaratan terkait: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2), NIST.800-53.r5 AC-6 (3)
Kategori: Deteksi > Manajemen akses aman
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::IAM::Policy
AWS Config aturan: iam-policy-no-statements-with-full-access
Jenis jadwal: Perubahan dipicu
Parameter:
-
excludePermissionBoundaryPolicy
:True
(tidak dapat disesuaikan)
Kontrol ini memeriksa apakah kebijakan IAM berbasis identitas yang Anda buat memiliki pernyataan Izinkan yang menggunakan wildcard * untuk memberikan izin untuk semua tindakan pada layanan apa pun. Kontrol gagal jika ada pernyataan kebijakan yang disertakan "Effect": "Allow"
dengan"Action": "Service:*"
.
Misalnya, pernyataan berikut dalam kebijakan menghasilkan temuan yang gagal.
"Statement": [ { "Sid": "EC2-Wildcard", "Effect": "Allow", "Action": "ec2:*", "Resource": "*" }
Kontrol juga gagal jika Anda menggunakannya "Effect": "Allow"
"NotAction":
"
. Dalam hal ini, service
:*"NotAction
elemen menyediakan akses ke semua tindakan dalam Layanan AWS, kecuali untuk tindakan yang ditentukan dalamNotAction
.
Kontrol ini hanya berlaku untuk IAM kebijakan yang dikelola pelanggan. Ini tidak berlaku untuk IAM kebijakan yang dikelola oleh AWS.
Saat Anda menetapkan izin Layanan AWS, penting untuk mencakup IAM tindakan yang diizinkan dalam kebijakan AndaIAM. Anda harus membatasi IAM tindakan hanya pada tindakan yang diperlukan. Ini membantu Anda memberikan izin hak istimewa paling sedikit. Kebijakan yang terlalu permisif dapat menyebabkan eskalasi hak istimewa jika kebijakan tersebut dilampirkan pada IAM kepala sekolah yang mungkin tidak memerlukan izin.
Dalam beberapa kasus, Anda mungkin ingin mengizinkan IAM tindakan yang memiliki awalan serupa, seperti DescribeFlowLogs
danDescribeAvailabilityZones
. Dalam kasus resmi ini, Anda dapat menambahkan wildcard akhiran ke awalan umum. Misalnya, ec2:Describe*
.
Kontrol ini lolos jika Anda menggunakan IAM tindakan awalan dengan wildcard berakhiran. Misalnya, pernyataan berikut dalam kebijakan menghasilkan temuan yang dilewatkan.
"Statement": [ { "Sid": "EC2-Wildcard", "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }
Saat mengelompokkan IAM tindakan terkait dengan cara ini, Anda juga dapat menghindari melebihi batas ukuran IAM kebijakan.
catatan
AWS Config harus diaktifkan di semua Wilayah tempat Anda menggunakan Security Hub. Namun, perekaman sumber daya global dapat diaktifkan dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.
Remediasi
Untuk mengatasi masalah ini, perbarui IAM kebijakan Anda sehingga kebijakan tersebut tidak mengizinkan hak administratif “*” penuh. Untuk detail tentang cara mengedit IAM kebijakan, lihat Mengedit IAM kebijakan di Panduan IAM Pengguna.
[IAM.22] kredensi IAM pengguna yang tidak digunakan selama 45 hari harus dihapus
Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v3.0.0/1.12, Tolok Ukur Yayasan v1.4.0/1.12 CIS AWS
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::IAM::User
AWS Config aturan: iam-user-unused-credentials-check
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah IAM pengguna Anda memiliki kata sandi atau kunci akses aktif yang belum digunakan selama 45 hari atau lebih. Untuk melakukannya, ia memeriksa apakah maxCredentialUsageAge
parameter AWS Config aturan sama dengan 45 atau lebih.
Pengguna dapat mengakses AWS sumber daya menggunakan berbagai jenis kredensil, seperti kata sandi atau kunci akses.
CISmerekomendasikan agar Anda menghapus atau menonaktifkan semua kredensil yang telah tidak digunakan selama 45 hari atau lebih. Menonaktifkan atau menghapus kredensi yang tidak perlu mengurangi jendela peluang untuk kredensi yang terkait dengan akun yang disusupi atau ditinggalkan untuk digunakan.
AWS Config Aturan untuk kontrol ini menggunakan GetCredentialReport
dan GenerateCredentialReport
APIoperasi, yang hanya diperbarui setiap empat jam. Perubahan pada IAM pengguna dapat memakan waktu hingga empat jam untuk dapat dilihat oleh kontrol ini.
catatan
AWS Config harus diaktifkan di semua Wilayah tempat Anda menggunakan Security Hub. Namun, Anda dapat mengaktifkan perekaman sumber daya global dalam satu Wilayah. Jika Anda hanya merekam sumber daya global dalam satu Wilayah, maka Anda dapat menonaktifkan kontrol ini di semua Wilayah kecuali Wilayah tempat Anda merekam sumber daya global.
Remediasi
Saat Anda melihat informasi pengguna di IAM konsol, ada kolom untuk usia kunci Access, Usia kata sandi, dan Aktivitas terakhir. Jika nilai di salah satu kolom ini lebih besar dari 45 hari, buat kredensil untuk pengguna tersebut tidak aktif.
Anda juga dapat menggunakan laporan kredensi untuk memantau pengguna dan mengidentifikasi mereka yang tidak memiliki aktivitas selama 45 hari atau lebih. Anda dapat mengunduh laporan kredensi dalam .csv
format dari IAM konsol.
Setelah Anda mengidentifikasi akun yang tidak aktif atau kredensi yang tidak digunakan, nonaktifkan akun tersebut. Untuk petunjuk, lihat Membuat, mengubah, atau menghapus kata sandi IAM pengguna (konsol) di Panduan IAM Pengguna.
[IAM.23] Penganalisis IAM Access Analyzer harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::AccessAnalyzer::Analyzer
AWS Config aturan: tagged-accessanalyzer-analyzer
(aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan |
No default value
|
Kontrol ini memeriksa apakah penganalisis yang dikelola oleh AWS Identity and Access Management Access Analyzer (IAMAccess Analyzer) memiliki tag dengan kunci tertentu yang ditentukan dalam parameter. requiredTagKeys
Kontrol gagal jika penganalisis tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys
. Jika parameter requiredTagKeys
tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika penganalisis tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:
, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke penganalisis, lihat TagResourcedalam APIReferensi AWS IAM Access Analyzer.
[IAM.24] IAM peran harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::IAM::Role
AWS Config aturan: tagged-iam-role
(aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan |
No default value
|
Kontrol ini memeriksa apakah peran AWS Identity and Access Management (IAM) memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys
. Kontrol gagal jika peran tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys
. Jika parameter requiredTagKeys
tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika peran tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:
, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke IAM peran, lihat Menandai IAM sumber daya di Panduan IAM Pengguna.
[IAM.25] IAM pengguna harus diberi tag
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::IAM::User
AWS Config aturan: tagged-iam-user
(aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan |
No default value
|
Kontrol ini memeriksa apakah pengguna AWS Identity and Access Management (IAM) memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys
. Kontrol gagal jika pengguna tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys
. Jika parameter requiredTagKeys
tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika pengguna tidak diberi tag dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:
, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke IAM pengguna, lihat Menandai IAM sumber daya di Panduan IAM Pengguna.
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
Persyaratan terkait: CIS AWS Yayasan Benchmark v3.0.0/1.19
Kategori: Identifikasi > Kepatuhan
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::IAM::ServerCertificate
AWS Config aturan: iam-server-certificate-expiration-check
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah sertifikat SSL/TLS server certificate that is managed in IAM has expired. The control fails if the expired SSL/TLS server aktif tidak dihapus.
Untuk mengaktifkan HTTPS koneksi ke situs web atau aplikasi Anda AWS, Anda memerlukan sertifikat SSL TLS /server. Anda dapat menggunakan IAM or AWS Certificate Manager (ACM) untuk menyimpan dan menyebarkan sertifikat server. Gunakan IAM sebagai manajer sertifikat hanya jika Anda harus mendukung HTTPS koneksi Wilayah AWS yang tidak didukung olehACM. IAMmengenkripsi kunci pribadi Anda dengan aman dan menyimpan versi terenkripsi dalam penyimpanan sertifikat. IAM SSL IAMmendukung penerapan sertifikat server di semua Wilayah, tetapi Anda harus mendapatkan sertifikat Anda dari penyedia eksternal untuk digunakan. AWS Anda tidak dapat mengunggah ACM sertifikat keIAM. Selain itu, Anda tidak dapat mengelola sertifikat dari IAM konsol. Menghapus TLS sertifikat SSL kedaluwarsa/menghilangkan risiko bahwa sertifikat yang tidak valid disebarkan secara tidak sengaja ke sumber daya, yang dapat merusak kredibilitas aplikasi atau situs web yang mendasarinya.
Remediasi
Untuk menghapus sertifikat serverIAM, lihat Mengelola sertifikat server IAM di Panduan IAM Pengguna.
[IAM.27] IAM identitas seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
Persyaratan terkait: CIS AWS Yayasan Benchmark v3.0.0/1.22
Kategori: Lindungi > Manajemen akses aman > IAM Kebijakan aman
Tingkat keparahan: Sedang
Jenis sumber daya:AWS::IAM::Role
,AWS::IAM::User
, AWS::IAM::Group
AWS Config aturan: iam-policy-blacklisted-check
Jenis jadwal: Perubahan dipicu
Parameter:
““: policyArns “arn:aws:iam: :aws:” policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess
Kontrol ini memeriksa apakah IAM identitas (pengguna, peran, atau grup) memiliki kebijakan AWS terkelola yang AWSCloudShellFullAccess
dilampirkan. Kontrol gagal jika IAM identitas memiliki AWSCloudShellFullAccess
kebijakan yang dilampirkan.
AWS CloudShell menyediakan cara mudah untuk menjalankan CLI perintah terhadap Layanan AWS. Kebijakan AWS terkelola AWSCloudShellFullAccess
menyediakan akses penuh CloudShell, yang memungkinkan kemampuan mengunggah dan mengunduh file antara sistem lokal pengguna dan CloudShell lingkungan. Dalam CloudShell lingkungan, pengguna memiliki izin sudo, dan dapat mengakses internet. Akibatnya, melampirkan kebijakan terkelola ini ke IAM identitas memberi mereka kemampuan untuk menginstal perangkat lunak transfer file dan memindahkan data dari CloudShell ke server internet eksternal. Sebaiknya ikuti prinsip hak istimewa paling sedikit dan melampirkan izin yang lebih sempit ke identitas Anda. IAM
Remediasi
Untuk melepaskan AWSCloudShellFullAccess
kebijakan dari IAM identitas, lihat Menambahkan dan menghapus izin IAM identitas di IAMPanduan Pengguna.
[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
Persyaratan terkait: CIS AWS Yayasan Benchmark v3.0.0/1.20
Kategori: Deteksi > Layanan deteksi > Pemantauan penggunaan istimewa
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::AccessAnalyzer::Analyzer
AWS Config aturan: iam-external-access-analyzer-enabled
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah Akun AWS penganalisis IAM akses eksternal Access Analyzer diaktifkan. Kontrol gagal jika akun tidak mengaktifkan penganalisis akses eksternal di pilihan Wilayah AWS Anda saat ini.
IAMAccess Analyzer External Access Analyzer membantu mengidentifikasi sumber daya di organisasi dan akun Anda, seperti bucket IAM atau peran Amazon Simple Storage Service (Amazon S3), yang dibagikan dengan entitas eksternal. Ini membantu Anda menghindari akses yang tidak diinginkan ke sumber daya dan data Anda. IAM Access Analyzer bersifat Regional dan harus diaktifkan di setiap Wilayah. Untuk mengidentifikasi sumber daya yang dibagikan dengan prinsipal eksternal, penganalisis akses menggunakan penalaran berbasis logika untuk menganalisis kebijakan berbasis sumber daya di lingkungan Anda. AWS Saat mengaktifkan penganalisis akses eksternal, Anda membuat penganalisis untuk seluruh organisasi atau akun Anda.
Remediasi
Untuk mengaktifkan penganalisis akses eksternal di Wilayah tertentu, lihat Mengaktifkan Penganalisis IAM Akses di Panduan Pengguna. IAM Anda harus mengaktifkan penganalisis di setiap Wilayah tempat Anda ingin memantau akses ke sumber daya Anda.