10 лучших практик IAM для обеспечения безопасности в облаке AWS

Amazon Web Service Identity and Access Management (IAM) — это бесплатный основной веб-сервис, обычно используемый для управления доступом к ресурсам AWS. IAM помогает определить, кто прошел аутентификацию и авторизован для использования определенных ресурсов или сервисов AWS. Первоначально при создании новой учетной записи AWS вы начинаете с единого входа, который дает доступ ко всем ресурсам и сервисам AWS. Это конкретное удостоверение называется корневым пользователем учетной записи AWS. Чтобы получить доступ к этому пользователю, вы должны войти в систему с тем же именем пользователя и паролем, которые вы использовали при создании учетной записи. Учетные данные корневого пользователя IAM не следует использовать для повседневных задач, даже для административных. Привилегию пользователя root следует использовать только при создании первого пользователя IAM. После настройки рекомендуется надежно заблокировать учетные данные пользователя root и использовать их только для задач управления учетными записями и службами.

IAM: лучшие методы обеспечения безопасности

В быстрорастущей ИТ-индустрии облачные вычисления предоставляют некоторые функции, аналогичные традиционной ИТ-безопасности. Безопасность включает в себя защиту важной информации от кражи, утечки данных и удаления. Безопасность в облаке не меняет концепции создания безопасных решений, помогающих предпринимать упреждающие и корректирующие действия. Тем не менее, он фокусируется на том, чтобы дать вам аналогичные результаты более гибким образом.

Теперь давайте углубимся в IAM, чтобы узнать о некоторых передовых методах, которые могут значительно повысить безопасность вашего облака:

1. Не используйте и не делитесь учетными данными пользователя root с учетной записью AWS.

Привилегированный пользователь вашей учетной записи AWS предоставляет полный доступ ко всем ресурсам для всех сервисов AWS, включая вашу платежную информацию. Вы используете ключ доступа, который включает в себя идентификатор ключа доступа и секретный ключ доступа, чтобы выполнять программные запросы к AWS. Невозможно уменьшить разрешения, связанные с корневым идентификатором учетной записи AWS. Поэтому чрезвычайно важно защитить ключ доступа пользователя root — и вот несколько способов сделать это:

1. Ограничьте доступ к учетной записи root задачами, которые могут быть выполнены только с использованием учетной записи root, например, созданием первой учетной записи администратора. Для всех остальных задач создайте пользователя IAM с правами администратора и используйте эту учетную запись для повседневных задач.
2. Удалите ключ доступа пользователя root к своей учетной записи AWS. Если вам необходимо сохранить его, регулярно меняйте ключ доступа. Чтобы удалить или изменить свой ключ доступа, вам просто нужно перейти на страницу «Мои учетные данные безопасности» и войти в систему.
3. Доступ на уровне учетной записи консоли управления AWS должен быть надежно защищен паролем.
4. Никому не сообщайте пароль пользователя root или ключ доступа к своей учетной записи AWS.

2. Используйте надежные пароли для всех пользователей AWS

Большинство пользователей выбирают легко запоминающийся и, следовательно, легко угадываемый пароль, несмотря на риски безопасности. В этом случае хакер может легко взломать один из аккаунтов, не прилагая особых усилий. Пользователи могут легко создавать высоконадежные пароли, принимая следующие меры для обеспечения безопасности учетных данных IAM:

1. 14 символов должны быть минимальной длиной пароля.
2. Всегда включайте по крайней мере один специальный символ, один заглавный алфавит и неалфавитные символы.
3. Избегайте использования словарных слов в качестве паролей.
4. Используйте политику истечения срока действия пароля и избегайте повторного использования одних и тех же паролей.
5. Используйте инструменты для генерации паролей, а не пытайтесь придумывать пароли самостоятельно.

3. Использование сторонних инструментов для повышения безопасности

Для достижения лучших результатов администратору иногда приходится выходить за рамки самой службы. Например, инструменты ведения журнала, такие как AWS CloudTrail, очень помогают отслеживать запросы API. Другие инструменты, такие как Chalice, могут помочь автоматизировать создание политик IAM, что может сэкономить много времени на администрирование. Хотя эти инструменты помогают устранить риски и ускорить некоторые задачи управления, им не хватает гибкости, и администраторы должны постоянно контролировать их. Чтобы эти инструменты были эффективными и не стали неэффективными, их следует регулярно обновлять вместе с регулярными обновлениями AWS.

4. Проверка разрешений IAM с использованием уровней доступа

Все политики IAM следует регулярно контролировать и пересматривать, чтобы обеспечить эффективную безопасность. Политики должны предоставлять минимально возможные разрешения, необходимые для выполнения определенных действий в соответствии с требованиями. Сводку политики можно использовать для просмотра политики, которая предоставляет подробные сведения об уровне доступа для конкретной службы. Существует пять уровней доступа: список, чтение, запись, управление разрешениями и теги.

Вы можете предоставить доступ в соответствии с требованиями задачи. Сводка политики включена на страницу политик для управляемых политик и на страницу пользователей для политик, прикрепленных к конкретному пользователю.

5. Использование многофакторной аутентификации

Все пользователи IAM должны иметь многофакторную аутентификацию для повышения безопасности. При использовании MFA ответ будет создан на устройстве пользователя как часть процесса проверки подлинности. Для процесса входа потребуются как учетные данные пользователя, так и ответ, сгенерированный на устройстве пользователя. Таким образом, если пароль какого-либо пользователя будет скомпрометирован, ресурсы учетной записи останутся в безопасности благодаря MFA.

Ответ может быть сгенерирован одним из следующих способов:

1. Для аппаратных или виртуальных устройств на вашем устройстве будет сгенерирован код ответа, который вам нужно будет вводить в процессе входа в систему, когда это необходимо.
2. Ключи безопасности U2F генерируют код сами по себе, когда вы нажимаете на устройство. Пользователям не нужно вводить код вручную на экране.

Такие инструменты, как Okta и Ping Identity, можно использовать для достижения многофакторной аутентификации.

6. Удалите ненужные учетные данные

Хорошей практикой безопасности всегда является регулярный аудит учетных данных пользователей и удаление всех тех, которые больше не активны. AWS предоставляет удивительный «отчет об учетных данных», который помогает отслеживать жизненный цикл паролей и ключей доступа. Этот отчет включает сведения о пользователе, дату создания, дату последнего использования пароля и дату последнего изменения пароля. Кроме того, если вы используете какую-либо политику ротации паролей, это напомнит вам, когда вы должны изменить свой пароль. Эти детали очень полезны, когда дело доходит до аудита и удаления ненужных учетных данных. Аудитору может быть поручена загрузка отчета о полномочиях и выполнение дальнейших задач в соответствии с требованиями.

Отчеты об учетных данных могут создаваться каждые четыре часа. AWS IAM самостоятельно проверяет, когда был создан последний отчет, и решает, создавать новый отчет или нет.

7. Регулярно меняйте учетные данные

Регулярно меняйте свои пароли и ключи доступа и убедитесь, что все пользователи IAM делают то же самое. В этом случае, даже если ваш пароль каким-либо образом будет скомпрометирован, будет ограниченное время до того момента, когда ваши ресурсы будут доступны под этим паролем. Чтобы упростить задачу, вы можете использовать политику паролей, а также решить, как часто вы хотите, чтобы пользователи IAM меняли свои пароли.

8. Используйте политики, управляемые AWS, для назначения разрешений

Amazon предоставляет предопределенный набор политик, полностью управляемых AWS, и клиентам не разрешено изменять эти разрешения. Эти политики предназначены для предоставления некоторых общих правил доступа, упрощающих работу пользователей, поскольку им не нужно определять политику с самого начала.

9. Никогда не делитесь учетными данными учетной записи AWS

Ни при каких обстоятельствах не разглашайте учетные данные своей учетной записи AWS. Вместо этого вы можете создать пользователей IAM для всех, кому нужен доступ к ресурсам AWS. Таким образом, вы можете назначать разрешения разным группам пользователей в соответствии с их требованиями.

10. Отслеживайте действия пользователей

Все организации должны отслеживать активность AWS вместе со всеми другими облачными сервисами, чтобы получить полное представление обо всех действиях в облаке. Это может помочь в обнаружении любых угроз, а также даст представление о межоблачных угрозах, которые можно было бы пропустить, просто просматривая облачные сервисы один за другим. Брокер безопасности доступа к облаку (CASB) обеспечивает видимость между облаками для поддержки мониторинга активности и защиты от угроз.

IAM: фундаментальный строительный блок безопасности

Управление идентификацией и доступом — это бесплатный сервис AWS, который является фундаментальным строительным блоком для защиты ваших облачных ресурсов. Такие практики, как MFA, где для доступа к системе требуется более одного канала, удаление неиспользуемых учетных данных с своевременным аудитом помогает уменьшить любые угрозы безопасности. Если вы еще не готовы определить свои собственные политики, лучше всего использовать политики, определенные AWS, поскольку они подходят для большинства ИТ-функций. Эти методы помогут вам безопасно получать доступ к облачным ресурсам и использовать их.