Tema 4: Gestire le identità

Le otto strategie essenziali trattate

Limita i privilegi amministrativi, autenticazione a più fattori

Una solida gestione dell'identità e delle autorizzazioni è un aspetto fondamentale della gestione della sicurezza nel cloud. Pratiche solide in materia di identità bilanciano l'accesso necessario e il minimo privilegio. Questo aiuta i team di sviluppo a muoversi rapidamente senza compromettere la sicurezza.

Utilizza la federazione delle identità per centralizzare la gestione delle identità. In questo modo è più semplice gestire l'accesso su più applicazioni e servizi perché si gestisce l'accesso da un'unica posizione. Ciò consente inoltre di implementare autorizzazioni temporanee e autenticazione a più fattori (MFA).

Concedi agli utenti solo le autorizzazioni di cui hanno bisogno per svolgere le loro attività. AWS Identity and Access Management Access Analyzer può convalidare le politiche e verificare l'accesso pubblico e tra account. Funzionalità come le policy di controllo dei AWS Organizations servizi (SCPs), le condizioni delle policy IAM, i limiti delle autorizzazioni IAM e i set di autorizzazioni possono aiutarti a configurare AWS IAM Identity Center il controllo granulare degli accessi (FGAC).

Quando si esegue qualsiasi tipo di autenticazione, è preferibile utilizzare credenziali temporanee per ridurre o eliminare i rischi, come la divulgazione, la condivisione o il furto inavvertitamente delle credenziali. Utilizza i ruoli IAM anziché gli utenti IAM.

Utilizza meccanismi di accesso efficaci, come l'MFA, per mitigare il rischio che le credenziali di accesso vengano divulgate inavvertitamente o siano facilmente indovinabili. Richiedi l'autenticazione MFA per l'utente root e puoi richiederla anche a livello di federazione. Se l'uso di utenti IAM è inevitabile, applica la MFA.

Per monitorare e generare report sulla conformità, è necessario lavorare continuamente per ridurre le autorizzazioni, monitorare i risultati di IAM Access Analyzer e rimuovere le risorse IAM inutilizzate. Utilizza AWS Config le regole per assicurarti che vengano applicati meccanismi di accesso efficaci, che le credenziali abbiano vita breve e che le risorse IAM vengano utilizzate.

Best practice correlate nel AWS Well-Architected Framework

• SEC02-BP01 Utilizza meccanismi di accesso avanzati

• SEC02-BP02 Utilizzo di credenziali temporanee

• SEC02-BP03 Archiviazione e utilizzo dei segreti in modo sicuro

• SEC02-BP04 Fai affidamento su un gestore dell'identità digitale centralizzato

• SEC02-BP05 Verifica e rotazione periodica delle credenziali

• SEC02-BP06 Impiego dei gruppi di utenti e degli attributi

• SEC03-BP01 Definizione dei requisiti di accesso

• SEC03-BP02 Concessione dell'accesso con privilegio minimo

• SEC03-BP03 Stabilire un processo di accesso di emergenza

• SEC03-BP04 Riduzione delle autorizzazioni in modo continuo

• SEC03-BP05 Definizione dei guardrail per le autorizzazioni dell'organizzazione

• SEC03-BP06 Gestione degli accessi in base al ciclo di vita

• SEC03-BP07 Analisi dell'accesso multi-account e pubblico

• SEC03-BP08 Condivisione delle risorse in modo sicuro all'interno dell'organizzazione

Implementazione di questo tema

Implementare la federazione

• Richiedi agli utenti umani di effettuare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee

• Implementa un accesso temporaneo elevato ai tuoi ambienti AWS

Applica le autorizzazioni con privilegi minimi

• Proteggi le credenziali dell'utente root e non utilizzarle per le attività quotidiane

• Utilizza IAM Access Analyzer per generare politiche con privilegi minimi basate sull'attività di accesso

• Verifica l'accesso pubblico e tra account alle risorse con IAM Access Analyzer

• Utilizza IAM Access Analyzer per convalidare le tue policy IAM per autorizzazioni sicure e funzionali

• Stabilisci barriere di autorizzazione su più account

• Utilizza i limiti delle autorizzazioni per impostare le autorizzazioni massime che una politica basata sull'identità può concedere

• Utilizza le condizioni nelle policy IAM per limitare ulteriormente l'accesso

• Esamina e rimuovi regolarmente utenti, ruoli, autorizzazioni, politiche e credenziali non utilizzati

• Inizia con le politiche AWS gestite e passa alle autorizzazioni con privilegi minimi

• Utilizza la funzionalità dei set di autorizzazioni in IAM Identity Center

Ruota le credenziali

• Richiedi ai carichi di lavoro di utilizzare i ruoli IAM per accedere AWS

• Automatizza l'eliminazione dei ruoli IAM non utilizzati

• Ruota regolarmente le chiavi di accesso per i casi d'uso che richiedono credenziali a lungo termine

Applica l'autenticazione a più fattori

• Richiedi MFA per l'utente root

• Richiedi l'autenticazione a più fattori tramite IAM Identity Center

• Prendi in considerazione la possibilità di richiedere l'MFA per azioni API specifiche del servizio

Monitoraggio di questo tema

Monitora l'accesso con privilegi minimi

• Invia i risultati di IAM Access Analyzer a AWS Security Hub

• Prendi in considerazione la possibilità di configurare notifiche per i risultati critici di IAM Identity Center

• Esamina regolarmente i report sulle credenziali relativi ai tuoi Account AWS

Implementa le seguenti regole AWS Config

• ACCESS_KEYS_ROTATED

• IAM_ROOT_ACCESS_KEY_CHECK

• IAM_USER_MFA_ENABLED

• IAM_USER_UNUSED_CREDENTIALS_CHECK

• IAM_PASSWORD_POLICY

• ROOT_ACCOUNT_HARDWARE_MFA_ENABLED