Управление идентификацией и доступом AWS (часть 2)

Опубликовано: 7 Марта, 2023
Управление идентификацией и доступом AWS (часть 2)

Управление идентификацией и доступом (IAM) идет рука об руку с созданием безопасной среды, и для AWS это ничем не отличается. IAM играет решающую роль в обеспечении безопасности вашего облака AWS.

В этой статье, состоящей из двух частей, мы рассмотрим IAM для AWS и передовые методы обеспечения высочайшего уровня безопасности при использовании AWS.

Введение

Как и во всех сервисах AWS, Amazon упростил подход для предприятий в отношении простоты, с которой различные решения внедряются на предприятии.

Эта критически важная практика, AWS IAM, была стратегически спроектирована и разработана с учетом сервисов Amazon, готовая к применению с небольшими осложнениями, что устраняет проблему планирования, проектирования, выбора и тестирования решения IAM, соответствующего архитектуре AWS, работающей в разных средах. Гамма AWS.

Такое распространение и возможности делают решение очень масштабируемым и обеспечивают гибкость, позволяющую администратору формировать контроль доступа (по мере необходимости) к сервисам, ресурсам и пользователям, которыми он управляет в облаке AWS.

AWS значительно упростила процесс; вся тяжелая работа была сделана за вас и автоматизирована. Все, что от вас требуется, — это быть знакомым с решением, получить опыт его использования и следовать передовым методам для успешного внедрения решения.

Amazon подробно описывает некоторые рекомендации, которым следует следовать при рассмотрении учетных записей пользователей IAM, ключей доступа AWS, ролей, групп, разрешений, политик, учетных данных и журналов, и это лишь некоторые из них.

Рекомендуемые передовые методы

  • Создание учетных записей пользователей (совместное использование и безопасность не являются хорошей идеей)

Всегда создавайте отдельные учетные записи для пользователей, которым требуется доступ к инфраструктуре AWS или API или использование федерации IAM. Важно, чтобы вы не делились своими учетными данными. Создавая отдельных пользователей IAM для доступа к учетной записи AWS, каждый пользователь будет иметь свои собственные учетные данные, и каждым пользователем можно управлять, устанавливая соответствующие разрешения для каждого пользователя. Если учетные данные являются общими, не только трудно проверить (кто что сделал), но и если возникает проблема, и юридическая группа решает ее, трудно доказать обстоятельства или на ком лежит вина.

  • Ключи доступа к аккаунту AWS

Учетные данные необходимы для доступа к ресурсам AWS, без них доступ будет невозможен. Практика, которой следует избегать, — это использование ключей доступа к учетной записи AWS для доступа к ресурсам. Эти ключи доступа следует использовать только в экстренных случаях, в противном случае ключи должны быть надежно спрятаны, вне досягаемости и вне использования.

Обеспечьте безопасность ключей доступа, следуя рекомендациям:

    • Создавайте ключи доступа только при необходимости. Всегда используйте пароль учетной записи для доступа и вместо этого создайте пользователя IAM с правами администратора.
    • Этот ключ доступа является мастер-ключом, и с ним следует обращаться осторожно; это корневой ключ, и он должен быть заперт.
    • Если ключи доступа были созданы, у вас есть два варианта их защиты. Либо удалите их (если они не существуют, вам не нужно их защищать), либо регулярно меняйте их. Удаление - лучший вариант для подражания.
    • Не сообщайте пароль учетной записи AWS или ключи доступа.
    • Используйте надежный пароль AWS.
    • Используйте многофакторную аутентификацию в учетной записи AWS.
  • Используйте роли или группы для назначения разрешений пользователям IAM

Группы IAM можно создавать для каждой должности, а пользователей можно назначать в соответствующие группы. Разрешения назначаются по мере необходимости для каждой группы, и каждый пользователь IAM в определенной группе получит те же разрешения, что и эта группа.

RBAC не только упрощает управление доступом к ресурсу, но и позволяет упростить сопоставление доступа в будущем при аудите доступа к ресурсам.

  • Подход с наименьшими привилегиями

При настройке разрешений рекомендуется всегда использовать подход с наименьшими привилегиями. Скорее разрешите небольшой доступ, чем слишком большой, вы всегда можете увеличить доступ, если это необходимо, но сложнее управлять ситуацией, если применяется снисходительный подход.

Часто при устранении неполадок или при создании доступа к новой службе разрешается больший доступ, и этот расширенный доступ затем становится постоянным и забывается. Если учетная запись с расширенным доступом будет проигнорирована или забыта и будет скомпрометирована, злоумышленник получит повышенный уровень привилегий, что может привести к высокому уровню доступа к ресурсам, к которым злоумышленник обычно не смог бы получить доступ при подходе с наименьшими привилегиями..

Обратная сторона медали заключается в том, что пользователь должен иметь только доступ, необходимый пользователю для выполнения его/ее работы; больший доступ может привести к искушению или, возможно, к ошибке, которой можно было бы легко избежать.

Поиск наиболее подходящего набора допустимых разрешений часто является сложной задачей и может потребовать проб и ошибок, чтобы получить правильный результат. Amazon предоставляет шаблоны с предопределенными разрешениями для общих функций; это может быть хорошим местом для начала.

  • Пароли

Пароли IAM должны быть надежными и регулярно меняться. Организация может разрешать пользователям создавать и изменять свои собственные пароли или нет. Политика паролей также может быть установлена на консоли IAM для создания паролей, чтобы требования к созданию паролей могли быть определены по мере необходимости.

  • Используйте многофакторную аутентификацию для пользователей IAM.

Многофакторная аутентификация обеспечивает дополнительную безопасность, что особенно важно для пользователей IAM, имеющих доступ к конфиденциальным ресурсам (привилегированные пользователи). Для доступа требуется сочетание учетных данных пользователей и безопасного кода, сгенерированного многофакторной аутентификацией.

В облачных средах это ключевой аспект безопасности. Мы все были свидетелями недавних взломов, когда онлайн-сети были скомпрометированы и произошла утечка учетных данных пользователей. По этой причине важно часто менять пароли, чтобы избежать этой проблемы. Многофакторные учетные данные и учетные данные с одноразовым паролем — это ротационные учетные данные, которые невозможно зафиксировать, поскольку они являются динамическими.

  • Используйте роли для приложений, работающих на инстансах EC2.

Приложениям, работающим в инстансе Amazon EC2, требуются учетные данные для доступа к другим сервисам AWS. Эти учетные данные должны быть безопасно предоставлены приложению; здесь вступают в игру роли IAM. Разрешения, данные роли, определяют, что будет разрешено делать приложению.

  • Регулярная ротация учетных данных имеет важное значение

Настройте политику для своей учетной записи AWS, чтобы все пользователи IAM меняли свои пароли так часто, как вы считаете необходимым, чтобы свести риск к минимуму. Если пароль скомпрометирован, регулярная ротация паролей гарантирует, что срок действия скомпрометированного пароля будет ограничен.

  • Удалить учетные данные, которые не используются

Все учетные данные, которые не используются, не должны существовать. Удаление этих учетных данных (пароли, устройства многофакторной аутентификации, ключи доступа и т. д.), которые не используются, снизит риск вашей безопасности. Если они не используются, они бесполезны для организации и только увеличивают риск безопасности организации. Очень важно отслеживать учетные данные (вы можете создать отчет об учетных данных для всех пользователей IAM для вашей учетной записи) и регулярно удалять ненужные.

  • Храните журналы/историю активности аккаунта AWS

Amazon предоставляет функции ведения журнала в сервисах AWS. Регулярно изучая эти журналы, вы сможете контролировать доступ к ресурсам и быстро обнаруживать неудовлетворительные разрешения или пробелы, которые можно улучшить.

  • Использовать условия политики

Определение политик путем настройки условий для разрешенного доступа к ресурсам гарантирует их безопасность. Несмотря на некоторую сложность, более однозначные условия, связанные с разрешенным или запрещенным доступом, обеспечат лучший контроль над ресурсами и максимальную безопасность.

Вывод

AWS предоставляет решение IAM с набором возможностей, которые успешно поддерживают сервисы AWS и обладают достаточной зрелостью и набором навыков, чтобы решение оставалось актуальным и хорошо подходило.

За вас была проделана трудоемкая работа, но чтобы решение работало должным образом и успешно, помните о рекомендуемых передовых методах.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023