Cosa posso fare se noto un'attività non autorizzata nel mio account AWS?

Risoluzione

Se sospetti la presenza di un'attività non autorizzata in un account AWS, completa innanzitutto i seguenti passaggi per eseguire le necessarie verifiche. Quindi poni fine all'attività non autorizzata nell'account AWS. Infine, proteggi l'utente root dell'account AWS con l'autenticazione a più fattori (MFA).

Nota: se non riesci ad accedere all'account, consulta Cosa devo fare se non riesco ad accedere al mio account AWS?

Controlla la presenza di un'attività non autorizzata nell'account

Per identificare operazioni non autorizzate, genera report sulle credenziali per l'account AWS in modo da verificare le password o le chiavi di accesso per ogni identità AWS Identity and Access Management (AWS IAM) dell'account. Quindi visualizza le informazioni sull'ultimo accesso di IAM per utenti, gruppi di utenti, ruoli e policy utilizzati di recente.

Per identificare accessi o modifiche non autorizzati dell'account, puoi monitorare l'attività dell'account di utenti e ruoli IAM e chiavi di accesso AWS specifici. Per ulteriori informazioni, consulta Come posso risolvere i problemi relativi ad attività insolite delle risorse nel mio account AWS?

Per identificare la creazione di risorse o utenti IAM non autorizzati, inclusi addebiti e servizi imprevisti per l'account, intraprendi le seguenti azioni:

• Crea un report costi e utilizzo per l'account.
• Inizia a utilizzare i suggerimenti di Trusted Advisor
• Rivedi le best practice per la fatturazione mensile.
  Nota: puoi anche utilizzare AWS Cost Explorer per esaminare i costi e l'utilizzo associati all'account.

Se hai verificato che non è presente alcuna attività non autorizzata nell'account, non sono necessarie ulteriori azioni.

Se hai verificato che è presente un'attività non autorizzata nell'account AWS, passa alla sezione successiva per porvi fine.

Poni fine all'attività non autorizzata nell'account

Se hai ricevuto una notifica da AWS relativa a un'attività irregolare nell'account, completa innanzitutto le seguenti istruzioni. Quindi rispondi alla notifica nel Centro Supporto AWS confermando le azioni completate.

Aggiorna le chiavi di accesso all'account esposte

Controlla la notifica di attività irregolare inviata dal Supporto AWS per le chiavi di accesso agli account esposte. Se vedi chiavi elencate, completa i seguenti passaggi:

1. Aggiorna la chiave di accesso AWS.
2. Disattiva la chiave di accesso originale.
   Importante: non eliminare la chiave di accesso originale durante questo passaggio.
3. Verifica che i problemi non riguardino l'applicazione. Nel caso, riattiva temporaneamente la chiave di accesso originale per risolverli.
4. Se l'applicazione è perfettamente funzionante dopo aver disattivato la chiave di accesso originale, eliminala.
5. Elimina le chiavi di accesso dell'utente root dell'account AWS che non ti servono più o non create da te.

Per ulteriori informazioni, consulta Proteggere le chiavi di accesso e Gestione delle chiavi di accesso per gli utenti IAM.

Per aggiornare credenziali di utenti IAM potenzialmente non autorizzate

Completa i seguenti passaggi:

1. Apri la console IAM.
2. Nel pannello di navigazione, scegliUtenti.
3. Seleziona il nome del primo utente IAM nell'elenco.
4. Nella pagina Riepilogo dell'utente IAM, nella scheda Autorizzazioni, nella sezione Policy delle autorizzazioni, controlla che la policy AWSCompromisedKeyQuarantineV2 sia collegata all'utente.
5. Aggiorna le chiavi di accesso per l'utente.
6. Ripeti i passaggi da 2 a 5 per ogni utente IAM dell'account.
7. Disattiva gli utenti IAM non creati da te.
8. Modifica le password degli utenti IAM creati da te.

Se utilizzi credenziali di sicurezza temporanee, consulta Revocare le credenziali di sicurezza temporanee per i ruoli IAM.

Controlla nella cronologia degli eventi di AWS CloudTrail la presenza di un'eventuale attività non autorizzata

Completa i seguenti passaggi:

1. Apri la console AWS CloudTrail.
2. Nel pannello di navigazione, scegli Cronologia degli eventi.
3. Verifica la presenza di un'attività non autorizzata, come la creazione di chiavi di accesso, policy, ruoli o credenziali di sicurezza temporanee.
   Importante: ricordati di controllare l'Ora evento per appurare se le risorse sono state create di recente e corrispondono all'attività irregolare.
4. Elimina tutte le chiavi di accesso, le policy, i ruoli o le credenziali di sicurezza temporanee non autorizzate.

Per ulteriori informazioni, consulta Lavorare con la cronologia degli eventi di CloudTrail.

Elimina le risorse non riconosciute o non autorizzate

Apri la Console di gestione AWS e verifica che tutte le risorse dell'account siano risorse avviate da te. Controlla e raffronta l'utilizzo del mese precedente con quello attuale. Assicurati di controllare tutte le risorse in tutte le Regioni AWS, anche in quelle in cui non hai avviato risorse.

Quindi, per eliminare risorse non riconosciute o non autorizzate, consulta Come posso rimuovere le risorse attive che non mi servono più nel mio account AWS?

Importante: se è necessario mantenere disponibili le risorse per possibili accertamenti, è consigliabile eseguirne il backup. Ad esempio, se devi mantenere un'istanza Amazon Elastic Cloud Compute (Amazon EC2) per motivi regolamentari, di conformità o legali, crea uno snapshot di Amazon EBS prima di terminare l'istanza.

Recupera le risorse dai backup

Se hai configurato i servizi per conservare backup, ripristinali dall'ultimo stato noto non compromesso.

Per ripristinare tipi specifici di risorse AWS, intraprendi le seguenti azioni:

• Ripristina un volume Amazon EBS o un'istanza EC2
• Ripristina in uno snapshot del database per le istanze Amazon Relational Database Service (Amazon RDS)
• Ripristina le versioni precedenti per le versioni degli oggetti Amazon Simple Storage Service (Amazon S3)

Verifica le informazioni dell'account

Verifica che nell'account tutte le seguenti informazioni siano corrette.

Se devi aggiornare le informazioni dell'account, intraprendi le seguenti azioni:

• Aggiorna il nome dell'account AWS
• Aggiornare l'indirizzo e-mail dell'utente root
• Aggiorna il contatto principale dell'account AWS
• Aggiorna i contatti alternativi dell'account AWS

Nota: per ulteriori informazioni sulle best practice di sicurezza per gli account, consulta Quali sono alcune best practice per proteggere il mio account AWS e le relative risorse?

Proteggi l'account dell'utente root con l'autenticazione a più fattori

È consigliabile attivare l'autenticazione a più fattori (MFA) perché l'utente root dell'account AWS ha un accesso privilegiato ai servizi e alle risorse AWS. L'autenticazione MFA garantisce un secondo fattore di autenticazione per le credenziali di accesso e riduce il rischio di compromissione della password. Puoi attivare fino a otto dispositivi MFA per ogni utente IAM con accesso alla Console di gestione AWS.

Nota: l'attivazione della MFA per l'utente root influisce solo sulle credenziali dell'utente root. Gli utenti IAM nell'account sono identità distinte con le proprie credenziali e ogni identità ha la propria configurazione MFA.

Per attivare l'autenticazione MFA, consulta Abilita l'autenticazione a più fattori (MFA) per la sicurezza dell'utente root e Autenticazione a più fattori (MFA) AWS in IAM.

Informazioni correlate

Guida tecnica di AWS Security Incident Response

Linee guida per l'audit di sicurezza di AWS