Thema 4: Identitäten verwalten

Die acht wichtigsten Strategien werden behandelt

Beschränken Sie Administratorrechte, Multi-Faktor-Authentifizierung

Ein robustes Identitäts- und Berechtigungsmanagement ist ein entscheidender Aspekt der Sicherheitsverwaltung in der Cloud. Starke Identitätspraktiken sorgen für ein ausgewogenes Verhältnis zwischen notwendigem Zugriff und geringsten Rechten. Dies hilft Entwicklungsteams, schnell voranzukommen, ohne die Sicherheit zu gefährden.

Verwenden Sie den Identitätsverbund, um die Verwaltung von Identitäten zu zentralisieren. Dies erleichtert die Verwaltung des Zugriffs über mehrere Anwendungen und Dienste hinweg, da Sie den Zugriff von einem einzigen Standort aus verwalten. Dies hilft Ihnen auch bei der Implementierung temporärer Berechtigungen und der Multi-Faktor-Authentifizierung (MFA).

Erteilen Sie Benutzern nur die Berechtigungen, die sie zur Ausführung ihrer Aufgaben benötigen. AWS Identity and Access Management Access Analyzer kann Richtlinien validieren und den öffentlichen und kontoübergreifenden Zugriff verifizieren. Funktionen wie AWS Organizations Dienststeuerungsrichtlinien (SCPs), IAM-Richtlinienbedingungen, IAM-Berechtigungsgrenzen und AWS IAM Identity Center Berechtigungssätze können Ihnen bei der Konfiguration einer detaillierten Zugriffskontrolle (FGAC) helfen.

Bei jeder Art von Authentifizierung empfiehlt es sich, temporäre Anmeldeinformationen zu verwenden, um Risiken zu reduzieren oder zu vermeiden, z. B. wenn Anmeldeinformationen versehentlich offengelegt, weitergegeben oder gestohlen werden. Verwenden Sie IAM-Rollen anstelle von IAM-Benutzern.

Verwenden Sie starke Anmeldemechanismen wie MFA, um das Risiko zu minimieren, dass Anmeldeinformationen versehentlich offengelegt wurden oder leicht zu erraten sind. Erfordern Sie MFA für den Root-Benutzer, und Sie können es auch auf Verbundebene verlangen. Wenn die Verwendung von IAM-Benutzern unvermeidlich ist, setzen Sie MFA durch.

Um die Einhaltung der Vorschriften zu überwachen und darüber zu berichten, müssen Sie kontinuierlich daran arbeiten, die Berechtigungen zu reduzieren, die Ergebnisse von IAM Access Analyzer zu überwachen und ungenutzte IAM-Ressourcen zu entfernen. Verwenden Sie AWS Config Regeln, um sicherzustellen, dass starke Anmeldemechanismen durchgesetzt werden, Anmeldeinformationen kurzlebig sind und IAM-Ressourcen genutzt werden.

Verwandte Best Practices im AWS Well-Architected Framework

• SEC02-BP01 Verwenden Sie starke Anmeldemechanismen

• SEC02-BP02 Verwenden von temporären Anmeldeinformationen

• SEC02-BP03 Sicheres Speichern und Verwenden von Secrets

• SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter

• SEC02-BP05 Regelmäßiges Überprüfen und Rotieren von Anmeldeinformationen

• SEC02-BP06 Nutzen von Benutzergruppen und Attributen

• SEC03-BP01 Definieren von Zugriffsanforderungen

• SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen

• SEC03-BP03 Richten Sie einen Notfallzugangsprozess ein

• SEC03-BP04 Kontinuierliche Reduzierung der Berechtigungen

• SEC03-BP05 Definieren eines Integritätsschutzes für Berechtigungen in Ihrer Organisation

• SEC03-BP06 Zugriffsverwaltung basierend auf dem Lebenszyklus

• SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs

• SEC03-BP08 Sicheres gemeinsames Nutzen von Ressourcen in Ihrer Organisation

Umsetzung dieses Themas

Implementieren Sie einen Identitätsverbund

• Erfordern Sie menschliche Benutzer, sich mit einem Identitätsanbieter zu verbinden, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu können

• Implementieren Sie temporären erhöhten Zugriff auf Ihre Umgebungen AWS

Wenden Sie Berechtigungen mit den geringsten Rechten an

• Schützen Sie Ihre Root-Benutzeranmeldedaten und verwenden Sie sie nicht für alltägliche Aufgaben

• Verwenden Sie IAM Access Analyzer, um Richtlinien mit den geringsten Rechten auf der Grundlage der Zugriffsaktivität zu generieren

• Überprüfen Sie mit IAM Access Analyzer den öffentlichen und kontoübergreifenden Zugriff auf Ressourcen

• Verwenden Sie IAM Access Analyzer, um Ihre IAM-Richtlinien auf sichere und funktionale Berechtigungen zu überprüfen

• Richten Sie Richtlinien für Berechtigungen für mehrere Konten ein

• Verwenden Sie Berechtigungsgrenzen, um die maximalen Berechtigungen festzulegen, die eine identitätsbasierte Richtlinie gewähren kann

• Verwenden Sie Bedingungen in IAM-Richtlinien, um den Zugriff weiter einzuschränken

• Überprüfen und entfernen Sie regelmäßig ungenutzte Benutzer, Rollen, Berechtigungen, Richtlinien und Anmeldeinformationen

• Beginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten Rechten

• Verwenden Sie die Funktion für Berechtigungssätze in IAM Identity Center

Rotieren Sie die Anmeldeinformationen

• Erfordern Sie, dass Workloads IAM-Rollen für den Zugriff verwenden AWS

• Automatisieren Sie das Löschen ungenutzter IAM-Rollen

• Wechseln Sie die Zugriffsschlüssel regelmäßig für Anwendungsfälle, für die langfristige Anmeldeinformationen erforderlich sind

MFA durchsetzen

• MFA für den Root-Benutzer erforderlich

• MFA über IAM Identity Center anfordern

• Erwägen Sie, MFA für dienstspezifische API-Aktionen vorzuschreiben

Dieses Thema wird überwacht

Überwachen Sie den Zugriff mit geringsten Rechten

• Senden Sie die Ergebnisse von IAM Access Analyzer an AWS Security Hub

• Erwägen Sie, Benachrichtigungen für kritische IAM Identity Center-Ergebnisse einzurichten

• Überprüfen Sie regelmäßig die Berichte über Ihre Anmeldeinformationen AWS-Konten

Implementieren Sie die folgenden Regeln AWS Config

• ACCESS_KEYS_ROTATED

• IAM_ROOT_ACCESS_KEY_CHECK

• IAM_USER_MFA_ENABLED

• IAM_USER_UNUSED_CREDENTIALS_CHECK

• IAM_PASSWORD_POLICY

• ROOT_ACCOUNT_HARDWARE_MFA_ENABLED