SEC03-BP02 Concedi l'accesso con privilegi minimi

È una best practice concedere alle identità soltanto il livello di accesso di cui hanno bisogno, specificando le operazioni che possono effettuare, le risorse su cui possono operare e a quali condizioni. Affidati a gruppi e attributi di identità per impostare in modo dinamico le autorizzazioni su vasta scala, anziché definire le autorizzazioni per i singoli utenti. Ad esempio, puoi concedere a un gruppo di sviluppatori le autorizzazioni per gestire solo le risorse del loro progetto. In questo modo, se uno sviluppatore lascia il progetto, il suo accesso viene revocato in automatico senza modificare le policy di accesso sottostanti.

Risultato desiderato: gli utenti dispongono solo delle autorizzazioni necessarie per svolgere il proprio lavoro. Gli utenti dovrebbero avere accesso solo agli ambienti di produzione per eseguire un'attività specifica in un intervallo temporale limitato e l'accesso dovrebbe essere revocato una volta completata l'attività. Le autorizzazioni devono essere revocate quando non sono più necessarie, incluso se un utente passa a un progetto o a un ruolo professionale diverso. I privilegi di amministratore devono essere riservati a un piccolo gruppo di amministratori fidati. Le autorizzazioni vanno riviste con regolarità per evitare che si accumulino. Account di sistemi o di macchine devono disporre del numero minimo di autorizzazioni necessarie per portare a termine un'attività.

Anti-pattern comuni:

• L'impostazione predefinita è la concessione delle autorizzazioni di amministratore agli utenti.

• Utilizzo dell'utente root per le attività. day-to-day

• Creazione di policy eccessivamente permissive, ma senza privilegi completi di amministratore.

• Mancata revisione delle autorizzazioni per capire se consentono l'accesso privilegio minimo.

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

Secondo il principio del privilegio minimo, le identità dovrebbero essere autorizzate a eseguire solo il più piccolo insieme di azioni necessarie per lo svolgimento di un'attività specifica. In questo modo usabilità, efficienza e sicurezza sono bilanciate. Seguendo questo principio si limitano gli accessi indesiderati e si può monitorare chi accede a quali risorse. IAMper impostazione predefinita, gli utenti e i ruoli non dispongono di autorizzazioni. Per impostazione predefinita, l'utente root dispone dell'accesso completo e deve essere strettamente controllato, monitorato e utilizzato solo per le attività che richiedono l'accesso root.

IAMle politiche vengono utilizzate per concedere esplicitamente le autorizzazioni a IAM ruoli o risorse specifiche. Ad esempio, le policy basate sull'identità possono essere collegate ai IAM gruppi, mentre i bucket S3 possono essere controllati da policy basate sulle risorse.

Quando si crea una IAM policy, è possibile specificare le azioni, le risorse e le condizioni di servizio che devono essere soddisfatte per consentire o negare l'accesso. AWS AWS supporta una serie di condizioni per aiutarti a limitare l'accesso. Ad esempio, utilizzando la chiave PrincipalOrgID condition, puoi negare azioni se il richiedente non fa parte della tua AWS organizzazione.

Puoi anche controllare le richieste che AWS i servizi effettuano per tuo conto, come la AWS CloudFormation creazione di una AWS Lambda funzione, utilizzando il tasto CalledVia condition. È necessario sovrapporre diversi tipi di policy per stabilire defense-in-depth e limitare le autorizzazioni complessive degli utenti. Puoi anche limitare le autorizzazioni che possono essere concesse e le relative condizioni. Ad esempio, potete consentire ai team addetti alle applicazioni di creare IAM le proprie policy per i sistemi da loro creati, ma dovete anche applicare un limite di autorizzazione per limitare il numero massimo di autorizzazioni che il sistema può ricevere.

Passaggi dell'implementazione

• Implementa politiche con privilegi minimi: assegna politiche di accesso con privilegi minimi a IAM gruppi e ruoli in modo che riflettano il ruolo o la funzione dell'utente che hai definito.

  • Politiche di base sull'APIutilizzo: un modo per determinare le autorizzazioni necessarie consiste nel rivedere i registri. AWS CloudTrail Questa revisione consente di creare autorizzazioni personalizzate in base alle azioni effettivamente eseguite dall'utente all'interno. AWSIAMAccess Analyzer può generare automaticamente una IAM policy basata sull'attività. È possibile utilizzare IAM Access Advisor a livello di organizzazione o account per tenere traccia delle ultime informazioni a cui si accede per una determinata politica.

• Prendi in considerazione l'utilizzo di policy AWS gestite per le funzioni lavorative. Quando si inizia a creare politiche di autorizzazione granulari, può essere difficile sapere da dove iniziare. AWS ha gestito politiche per ruoli lavorativi comuni, ad esempio fatturazione, amministratori di database e data scientist. Queste policy possono contribuire a limitare l'accesso degli utenti e, al contempo, definiscono come implementare le policy di privilegio minimo.

• Rimuovi le autorizzazioni non necessarie: rimuovi le autorizzazioni non necessarie e riduci le policy eccessivamente permissive. IAMLa generazione di policy di Access Analyzer può aiutare a perfezionare le politiche di autorizzazione.

• Assicurati che gli utenti abbiano un accesso limitato agli ambienti di produzione: gli utenti devono avere accesso agli ambienti di produzione solo in presenza di un caso d'uso valido. Una volta eseguite le attività specifiche che richiedono l'accesso alla produzione, l'accesso dell'utente deve essere revocato. Limitare l'accesso agli ambienti di produzione contribuisce a evitare eventi indesiderati con impatto sulla produzione e contiene gli effetti di accessi involontari.

• Prendi in considerazione i limiti delle autorizzazioni: un limite di autorizzazioni è una funzionalità che consente di utilizzare una politica gestita che imposta le autorizzazioni massime che una politica basata sull'identità può concedere a un'entità. IAM Il limite delle autorizzazioni di un'entità consente di eseguire solo le operazioni consentite dalle sue policy basate su identità e dai suoi limiti delle autorizzazioni.  

• Prendi in considerazione i tag delle risorse per le autorizzazioni: puoi concedere l'accesso in base allo scopo della risorsa, al proprietario, all'ambiente o ad altri criteri servendoti di un modello di controllo degli accessi basato sugli attributi che utilizza i tag delle risorse. Ad esempio, puoi usare tag di risorse per diversificare gli ambienti di produzione e sviluppo. Tramite questi tag puoi limitare gli sviluppatori all'ambiente di sviluppo. Abbinando policy su tag e autorizzazioni, puoi ottenere l'accesso a risorse dettagliate senza dover definire policy personalizzate e complesse per ogni funzione professionale.

• Utilizza AWS Organizations le politiche di controllo del servizio per. Le policy di controllo dei servizi monitorano a livello centrale il numero massimo di autorizzazioni disponibili per gli account membri della tua organizzazione. È importante notare che le policy di controllo dei servizi consentono di limitare le autorizzazioni dell'utente root negli account membri. Prendi in considerazione anche l'utilizzo AWS Control Tower, che fornisce controlli gestiti prescrittivi che arricchiscono. AWS Organizations Puoi anche definire i tuoi controlli in Control Tower.

• Stabilisci una politica del ciclo di vita degli utenti per la tua organizzazione: le politiche sul ciclo di vita degli utenti definiscono le attività da eseguire quando gli utenti vengono integrati AWS, cambiano ruolo o ambito lavorativo o non hanno più bisogno di accedervi. AWS Le revisioni delle autorizzazioni vanno eseguite in ogni fase del ciclo di vita di un utente per verificare che siano sufficientemente restrittive e per evitare che si accumulino.

• Stabilisci una pianificazione regolare per rivedere le autorizzazioni e rimuovere eventuali autorizzazioni non necessarie: dovresti controllare regolarmente l'accesso degli utenti per verificare che gli utenti non dispongano di un accesso eccessivamente permissivo. AWS Confige IAM Access Analyzer possono aiutarti nel controllo delle autorizzazioni degli utenti.

• Stabilisci una matrice dei ruoli lavorativi: una matrice dei ruoli lavorativi visualizza i vari ruoli e i livelli di accesso richiesti all'interno del tuo ambiente. AWS Tramite una matrice dei ruoli professionali puoi definire e separare le autorizzazioni in base alle responsabilità degli utenti all'interno dell'organizzazione. Utilizza i gruppi anziché applicare le autorizzazioni direttamente a singoli utenti o ruoli.  

Risorse

Documenti correlati:

• Grant least privilege

• Limiti delle autorizzazioni per le entità IAM

• Tecniche per scrivere politiche sui privilegi minimi IAM

• IAMAccess Analyzer semplifica l'implementazione delle autorizzazioni con privilegi minimi generando IAM policy basate sull'attività di accesso

• Delega la gestione delle autorizzazioni agli sviluppatori utilizzando i limiti delle autorizzazioni IAM

• Perfezionare le autorizzazioni utilizzando le informazioni dell'ultimo accesso

• IAMtipi di policy e quando utilizzarle

• Test delle IAM politiche con il simulatore IAM di politiche

• Guardrail in AWS Control Tower

• Architetture Zero Trust: una prospettiva AWS

• Come implementare il principio del privilegio minimo con CloudFormation StackSets

• Controllo degli accessi basato sugli attributi () ABAC

• Reducing policy scope by viewing user activity

• View role access

• Uso dei tag per organizzare il proprio ambiente e aumentare la responsabilità

• Strategie di applicazione di tag AWS

• Applicazione di tag alle risorse AWS

Video correlati:

• Next-generation permissions management

• Zero Trust: una prospettiva AWS

Esempi correlati:

• Lab: IAM autorizzazioni, limiti, delega della creazione di ruoli

• Lab: controllo degli accessi basato su IAM tag per EC2