Tema 4: Gerenciar identidades

Oito estratégias essenciais abordadas

Restrinja privilégios administrativos, autenticação multifatorial

O gerenciamento robusto de identidade e permissões é um aspecto essencial do gerenciamento da segurança na nuvem. Práticas de identidade fortes equilibram o acesso necessário e o mínimo de privilégios. Isso ajuda as equipes de desenvolvimento a se moverem rapidamente sem comprometer a segurança.

Use a federação de identidades para centralizar o gerenciamento de identidades. Isso facilita o gerenciamento do acesso em vários aplicativos e serviços porque você está gerenciando o acesso em um único local. Isso também ajuda você a implementar permissões temporárias e autenticação multifator (MFA).

Conceda aos usuários somente as permissões necessárias para realizar suas tarefas. AWS Identity and Access Management Access Analyzer pode validar políticas e verificar o acesso público e entre contas. Recursos como políticas de controle AWS Organizations de serviço (SCPs), condições de política do IAM, limites de permissões do IAM e conjuntos de AWS IAM Identity Center permissões podem ajudar você a configurar o controle de acesso refinado (FGAC).

Ao fazer qualquer tipo de autenticação, é melhor usar credenciais temporárias para reduzir ou eliminar riscos, como credenciais sendo divulgadas, compartilhadas ou roubadas inadvertidamente. Use funções do IAM em vez de usuários do IAM.

Use mecanismos de login robustos, como o MFA, para reduzir o risco de as credenciais de login serem divulgadas inadvertidamente ou serem facilmente adivinhadas. Exija MFA para o usuário raiz, e você também pode exigi-la em nível de federação. Se o uso de usuários do IAM for inevitável, aplique a MFA.

Para monitorar e relatar a conformidade, você deve trabalhar continuamente para reduzir as permissões, monitorar as descobertas do IAM Access Analyzer e remover recursos do IAM não utilizados. Use AWS Config regras para garantir que mecanismos de login fortes sejam aplicados, que as credenciais tenham vida curta e que os recursos do IAM estejam em uso.

Melhores práticas relacionadas no AWS Well-Architected Framework

• SEC02-BP01 Use mecanismos de login robustos

• SEC02-BP02 Usar credenciais temporárias

• SEC02-BP03 Armazenar e usar segredos com segurança

• SEC02-BP04 Confiar em um provedor de identidades centralizado

• SEC02-BP05 Auditar e fazer a rotação das credenciais periodicamente

• SEC02-BP06 Utilizar grupos de usuários e atributos

• SEC03-BP01 Definir requisitos de acesso

• SEC03-BP02 Conceder acesso de privilégio mínimo

• SEC03-BP03 Estabelecer processo de acesso de emergência

• SEC03-BP04 Reduzir as permissões continuamente

• SEC03-BP05 Definir barreiras de proteção de permissões para sua organização

• SEC03-BP06 Gerenciar o acesso com base no ciclo de vida

• SEC03-BP07 Analisar o acesso público e entre contas

• SEC03-BP08 Compartilhar recursos com segurança em sua organização

Implementando este tema

Implementar federação de identidade

• Exija que usuários humanos se federem com um provedor de identidade para acessar AWS usando credenciais temporárias

• Implemente acesso elevado temporário aos seus AWS ambientes

Aplicar permissões de privilégio mínimo

• Proteja suas credenciais de usuário root e não as use para tarefas diárias

• Use o IAM Access Analyzer para gerar políticas de privilégios mínimos com base na atividade de acesso

• Verifique o acesso público e entre contas aos recursos com o IAM Access Analyzer

• Use o IAM Access Analyzer para validar suas políticas do IAM para obter permissões seguras e funcionais

• Estabeleça barreiras de permissões em várias contas

• Use limites de permissões para definir o máximo de permissões que uma política baseada em identidade pode conceder

• Use condições nas políticas do IAM para restringir ainda mais o acesso

• Analise e remova regularmente usuários, funções, permissões, políticas e credenciais não utilizados

• Comece com políticas AWS gerenciadas e adote permissões com privilégios mínimos

• Use o recurso de conjuntos de permissões no IAM Identity Center

Alterne as credenciais

• Exija que as cargas de trabalho usem funções do IAM para acessar AWS

• Automatize a exclusão de funções do IAM não utilizadas

• Alterne as chaves de acesso regularmente para casos de uso que exigem credenciais de longo prazo

Aplique o MFA

• Exigir MFA para o usuário raiz

• Exigir MFA por meio do IAM Identity Center

• Considere exigir a MFA para ações de API específicas do serviço

Monitorando este tema

Monitore o acesso com privilégios mínimos

• Envie as descobertas do IAM Access Analyzer para AWS Security Hub

• Considere configurar notificações para descobertas críticas do IAM Identity Center

• Analise regularmente os relatórios de credenciais de seu Contas da AWS

Implemente as seguintes AWS Config regras

• ACCESS_KEYS_ROTATED

• IAM_ROOT_ACCESS_KEY_CHECK

• IAM_USER_MFA_ENABLED

• IAM_USER_UNUSED_CREDENTIALS_CHECK

• IAM_PASSWORD_POLICY

• ROOT_ACCOUNT_HARDWARE_MFA_ENABLED