Quali sono alcune best practice per proteggere il mio account AWS e le relative risorse?

7 minuti di lettura

Desidero proteggere le mie risorse o il mio account AWS da attività non autorizzate. Desidero alcune best practice per proteggere il mio account AWS e le relative risorse.

Breve descrizione

AWS offre molti strumenti per proteggere il tuo account. Tuttavia, poiché molte di queste misure non sono attive per impostazione predefinita, è necessario intraprendere azioni dirette per implementarle. Ecco alcune best practice da prendere in considerazione per proteggere il tuo account e le sue risorse:

Proteggi le tue password e le tue chiavi di accesso
Attiva l'autenticazione a più fattori (MFA) sull'account AWS, utente root e qualsiasi utente con accesso interattivo ad AWS Identity and Access Management (IAM)
Limita l'accesso degli utenti root dell'account AWS alle tue risorse
Verifica frequentemente gli utenti IAM e le loro politiche
Crea istantanee di Amazon Elastic Block Store (Amazon EBS), istantanee di Amazon Relational Database Service (Amazon RDS) e versioni di oggetti di Amazon Simple Storage Service (Amazon S3)
Usa i progetti AWS Git per cercare prove di uso non autorizzato
Monitora il tuo account e le sue risorse

Nota: Se utilizzi AWS Identity Center o utenti federati IAM, le best practice per gli utenti IAM si applicano anche agli utenti federati.

Risoluzione

Proteggi le tue password e le tue chiavi di accesso

I due principali tipi di credenziali utilizzati per accedere all'account sono le password e le chiavi di accesso. Le password e le chiavi di accesso possono essere applicate all'account utente root di AWS e ai singoli utenti IAM. È consigliabile proteggere le password e le chiavi di accesso con la stessa sicurezza di qualsiasi altro dato personale riservato. Non incorporarli mai in codice accessibile al pubblico (ad esempio, un repository Git pubblico). Per una maggiore sicurezza, ruota e aggiorna frequentemente tutte le credenziali di sicurezza.

Se sospetti che sia stata esposta una password o una coppia di chiavi di accesso, procedi nel seguente modo:

Ruota tutte le coppie di chiavi di accesso.
Cambia la password utente root del tuo account AWS.
Segui le istruzioni in Cosa devo fare se noto attività non autorizzate nel mio account AWS?

Attiva l'autenticazione a più fattori

L'attivazione della MFA può aiutare a proteggere gli account e impedire agli utenti non autorizzati di accedere agli account senza un token di sicurezza.

Per una maggiore sicurezza, è consigliabile configurare l'autenticazione a più fattori per proteggere le risorse AWS. Puoi attivare una MFA virtuale per gli utenti IAM e l'](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-root)utente root dell'account AWS[. L'attivazione della MFA per l'utente root influisce solo sulle credenziali dell'utente root. Gli utenti IAM nell'account sono identità distinte con le proprie credenziali e ogni identità ha la propria configurazione MFA.

Per ulteriori informazioni, consulta Attivazione dei dispositivi MFA per gli utenti in AWS.

Limita l'accesso degli utenti root alle tue risorse

Le credenziali dell'account utente root (la password root o le chiavi di accesso root) garantiscono un accesso illimitato al tuo account e alle sue risorse. È consigliabile proteggere e ridurre al minimo l'accesso degli utenti root al tuo account.

Prendi in considerazione le seguenti strategie per limitare l'accesso degli utenti root al tuo account:

Usa gli utenti IAM per l'accesso quotidiano al tuo account. Se sei l'unica persona che accede all'account, vedi Creare un utente amministrativo.
Elimina l'uso delle chiavi di accesso root. Per ulteriori informazioni, consulta le best practice per la gestione delle chiavi di accesso AWS.
Usa un dispositivo MFA per l'utente root del tuo account.

Per ulteriori informazioni, consulta Proteggere le credenziali dell'utente root e non utilizzarle per le attività quotidiane.

Verifica frequentemente gli utenti IAM e le loro politiche

Prendi in considerazione le seguenti best practice quando lavori con gli utenti IAM:

Assicurati che gli utenti IAM dispongano delle policy più restrittive possibili, con autorizzazioni sufficienti per consentire loro di completare le attività previste (privilegio minimo).
Usa il Sistema di analisi degli accessi AWS IAM per analizzare le autorizzazioni esistenti. Per ulteriori informazioni, consulta Il sistema di analisi degli accessi semplifica l'implementazione delle autorizzazioni con privilegi minimi generando policy IAM basate sull'attività di accesso.
Crea utenti IAM diversi per ogni set di attività.
Quando associ più policy allo stesso utente IAM, tieni presente che la policy meno restrittiva ha la precedenza.
Controlla frequentemente i tuoi utenti IAM e le loro autorizzazioni e trova le credenziali inutilizzate.
Se il tuo utente IAM deve accedere alla console, puoi impostare una password per consentire l'accesso alla console limitando le autorizzazioni dell'utente.
Configura singoli dispositivi MFA per ogni utente IAM che ha accesso alla console.

Puoi utilizzare l'editor visuale nella console IAM per aiutarti a definire policy sicure. Per esempi di casi d'uso aziendali comuni e le policy che potresti utilizzare per risolverli, consulta Casi d'uso aziendali per IAM.

Crea istantanee Amazon EBS, istantanee Amazon RDS e versioni di oggetti Amazon S3

Per creare un'istantanea point-in-time di un volume EBS, consulta Creare istantanee Amazon EBS.

Per attivare le istantanee automatiche di Amazon RDS e impostare il periodo di conservazione dei backup, consulta Attivazione dei backup automatici.

Per creare un bucket S3 standard per il backup e l'archiviazione, consulta Creazione di bucket S3 standard per il backup e l'archiviazione. Per creare il controllo delle versioni dei bucket S3, consulta Utilizzo del controllo delle versioni nei bucket S3.

Per creare un piano Backup AWS utilizzando la console, consulta Creare un backup pianificato. Per creare un piano di Backup AWS utilizzando l’Interfaccia della linea di comando AWS (AWS CLI), consulta Come posso usare l'interfaccia della linea di comando AWS per creare un piano di Backup AWS o eseguire un lavoro su richiesta?

Usa i progetti AWS Git per proteggerti dall'uso non autorizzato

AWS offre progetti Git che puoi installare per proteggere il tuo account:

Git Secrets può scansionare unioni, commit e messaggi di commit alla ricerca di informazioni segrete (chiavi di accesso). Se Git Secrets rileva espressioni regolari proibite, può impedire che tali commit vengano pubblicati su archivi pubblici.
Usa AWS Step Functions e AWS Lambda per generare eventi Amazon CloudWatch da AWS Health o da AWS Trusted Advisor. Se ci sono prove che le tue chiavi di accesso sono esposte, i progetti possono aiutarti a rilevare, registrare e mitigare automaticamente l'evento.

Monitora il tuo account e le sue risorse

È consigliabile monitorare attivamente il tuo account e le relative risorse per rilevare attività o accessi insoliti al tuo account. Prendi in considerazione una o più delle seguenti soluzioni:

Crea un allarme di fatturazione per monitorare le spese AWS stimate e ricevere notifiche automatiche quando la fattura supera le soglie definite. Per ulteriori informazioni, consulta le domande frequenti su Amazon CloudWatch.
Crea un percorso per il tuo account AWS per tracciare quali credenziali vengono utilizzate per avviare particolari chiamate API e quando vengono utilizzate. In questo modo è possibile determinare se l'utilizzo è stato accidentale o non autorizzato. È quindi possibile adottare le misure appropriate per mitigare la situazione. Per ulteriori informazioni, consulta le best practice di sicurezza in AWS CloudTrail.
Usa CloudTrail e CloudWatch insieme per monitorare l'utilizzo delle chiavi di accesso e ricevere avvisi per chiamate API insolite.
Attiva la registrazione a livello di risorsa (ad esempio, a livello di istanza o sistema operativo) e la crittografia dei bucket predefinita di Amazon S3.
Attiva Amazon GuardDuty per il tuo account AWS in tutte le regioni supportate. Una volta attivato, GuardDuty inizia ad analizzare flussi indipendenti di dati provenienti dalla gestione di AWS CloudTrail e dagli eventi di dati di Amazon S3, dai log di flusso di Amazon VPC e dai log DNS per generare risultati sulla sicurezza. Le principali categorie di rilevamento includono la compromissione dell'account, la compromissione delle istanze e le intrusioni dolose. Per ulteriori informazioni, consulta le domande frequenti su Amazon GuardDuty.