Che cos'è la gestione dell'accesso all'identità in AWS?

Amazon Web Services (AWS) è una parte enorme dell'infrastruttura Internet. Le stime riportate da TheVerge affermano che circa il 40% di tutto il traffico Internet viene eseguito su AWS. I servizi Internet più popolari utilizzati da milioni di persone possono essere trovati in esecuzione su AWS, inclusi Airbnb, Expedia, Netflix, Pinterest, Slack, Spotify e molti altri. Non solo interi siti Web popolari e servizi online vengono eseguiti su AWS; molti siti Web utilizzano AWS come supporto per parte della loro presenza online.

Quando AWS si interrompe, come è successo a volte, parti gigantesche di ciò che viene riconosciuto come Internet smettono di funzionare. Problemi tecnici e violazioni della sicurezza possono causare questi guasti. Ciò significa che Amazon prende molto sul serio i problemi di sicurezza. AWS protegge la rete e i suoi client dall'accesso non autorizzato utilizzando una solida gestione dell'accesso all'identità.

Che cos'è la gestione dell'accesso all'identità?

La gestione dell'accesso all'identità (IAM) è un programma software o un servizio basato sul Web utilizzato per controllare in modo sicuro l'accesso alle risorse di rete. Un sistema IAM autentica prima un utente tramite un processo di accesso protetto da password e quindi consente all'utente di accedere alle risorse di rete in base alle autorizzazioni autorizzate per utilizzarle.

Per i servizi basati su cloud, la gestione dell'accesso degli utenti su cloud utilizza un sistema di autenticazione basato su cloud per determinare l'identità di un utente e quindi consentire l'accesso autorizzato. Amazon Web Services (AWS) dispone di un sistema di gestione dell'accesso alle identità che funziona con il sistema cloud AWS.

AWS Identity and Access Management

La gestione dell'identità e dell'accesso di AWS inizia con la creazione di un account AWS. All'inizio, un utente ha un'identità di accesso univoca che crea un utente root che ha accesso completo ai servizi AWS per quell'account. L'account utente root utilizza l'indirizzo e-mail di una persona e una password creata per l'autenticazione.

Gli utenti AWS devono proteggere queste informazioni sull'account utente root con estrema attenzione perché è l'account che può accedere a tutto. Fare riferimento alla sezione delle migliori pratiche di seguito per scoprire come proteggere al meglio queste informazioni.

Alcune funzionalità di AWS IAM includono:

• Accesso condiviso : consente ad altri utenti di accedere all'account AWS utilizzando le proprie credenziali di accesso.
• Autorizzazioni granulari autorizzate : agli utenti può essere concesso l'accesso in base a autorizzazioni scelte in modo molto specifico che vanno dall'accesso completo all'accesso di gruppo all'accesso alle applicazioni fino all'accesso a file protetti da password specifici e tutto il resto.
• Autenticazione a due fattori : questa scelta di sicurezza opzionale richiede che un utente autorizzato utilizzi la password/chiave di accesso corretta e risponda a un codice di messaggio di testo inviato a un dispositivo o a un indirizzo e-mail, come lo smartphone o l'account e-mail di un utente.
• API sicure: le interfacce di programmazione delle applicazioni sicure offrono ai programmi software la possibilità di connettersi ai dati e ai servizi sul sistema AWS necessari per svolgere le loro funzioni.
• Federazioni di identità : consente di archiviare le password degli utenti autorizzati altrove in un altro sistema utilizzato per l'identificazione.
• Audit di utilizzo : utilizzando il servizio AWS CloudTrial, viene registrato un registro completo dell'attività di accesso all'account degli utenti per gli audit di sicurezza IT.

Capire come funziona AIM su AWS

La gestione dell'accesso alle identità di Amazon si basa sui principi di una struttura di autorizzazioni a più livelli che include risorse, identità, entità e entità.

#Risorse

Le risorse possono essere aggiunte, modificate o rimosse dal sistema AWS IAM. Le risorse sono gli utenti, i gruppi, i ruoli, le politiche e gli oggetti per i provider di identità archiviati dal sistema.

#Identità

Si tratta di oggetti risorsa AWS IAM che collegano le policy alle identità per definire utenti, ruoli e gruppi.

#Entità

Questi sono ciò che il sistema AWS IAM utilizza come oggetti risorsa per scopi di autenticazione. Nel sistema AWS, sono gli utenti e i loro ruoli autorizzati. Come opzione, possono provenire da un sistema di identificazione federato o SAML che fornisce la verifica dell'identità basata sul Web.

#Principi

Può trattarsi di un singolo utente o di un'applicazione software autorizzata riconosciuta come utente AWS IAM o di un ruolo IAM autorizzato ad accedere e che ha richiesto l'accesso a dati e servizi.

Best practice per l'amministrazione AWS

Di seguito sono riportate alcune best practice da seguire per l'amministrazione di AWS.

1. Sicurezza dell'account utente root

L'account utente root creato al primo utilizzo di AWS ha la potenza maggiore ed è la "chiave principale" per un account AWS. Dovrebbe essere utilizzato solo per configurare l'account e solo per alcune operazioni necessarie di gestione dell'account e del servizio. L'accesso iniziale richiede un indirizzo e-mail e una password.

Le migliori pratiche per proteggere questo account root consistono nell'utilizzare un indirizzo e-mail monouso molto complesso con almeno 8 caratteri (con simboli, lettere maiuscole, lettere minuscole e numeri) prima del segno "@". Inoltre, utilizza una password univoca, diversa dall'indirizzo e-mail che contenga almeno 8 caratteri, che includa simboli, numeri, lettere maiuscole e lettere minuscole. Le password più lunghe sono migliori.

Dopo che l'account AWS è stato completamente configurato e stabilito, vengono creati altri account amministrativi per un uso regolare.

Una volta terminata la necessità dell'account utente root per avviare tutto, salvare le informazioni di accesso dell'account root su un'unità USB bloccandola con la crittografia e quindi tenere separata la chiave di crittografia. Metti l'unità USB offline in una cassaforte chiusa a chiave, dove può essere conservata in sicurezza fino a quando non sarà necessaria in futuro.

2. Limitare le autorizzazioni

Concedi a utenti e applicazioni solo le autorizzazioni esatte di cui hanno bisogno per svolgere il proprio lavoro. Sii cauto nel concedere l'accesso alle informazioni riservate e ai servizi mission-critical.

3. Problemi di sicurezza

La sicurezza è un problema in corso. Inizia con una solida struttura di progettazione dell'accesso degli utenti e quindi utilizza i controlli continui per rilevare i tentativi di accesso non autorizzato, nonché la gestione delle password degli utenti per una complessità sufficiente e le modifiche regolari delle password. È importante terminare rapidamente l'accesso dell'utente quando non è più necessario o desiderato. Si consiglia vivamente di utilizzare AWS CloudTrial per scopi di audit.

4. Crittografia

Quando concedi l'accesso ad AWS da dispositivi che utilizzano Internet, assicurati di utilizzare la crittografia point-to-point, come SSL, per garantire che i dati non vengano compromessi durante il transito.

5. Domande frequenti su AWS Identity Access Management

Le domande frequenti sulla gestione dell'accesso all'identità di AWS trattano alcuni questionari per affrontare i problemi che ti aiutano per la gestione dell'accesso di AWS.

Dettagli tecnici di AWS Access Management

La gestione degli accessi AWS ha un grafico che mostra come i protocolli IAM si interfacciano con il sistema completo basato su cloud AWS. I protocolli IAM includono policy basate sull'identità, policy basate sulle risorse e altre policy utilizzate per l'autorizzazione.

Durante il processo di autorizzazione, il sistema AWS controlla le policy per decidere se consentire o negare l'accesso.

La struttura generale delle politiche si basa su una serie di principi chiave a più livelli che includono:

• Solo l'utente dell'account root ha accesso completo. Per impostazione predefinita, tutte le altre richieste di accesso vengono negate.
• Solo un'identità esplicita o una politica delle risorse può sovrascrivere l'impostazione predefinita del sistema.
• Un limite alle autorizzazioni per una sessione o basato su una politica strutturale (SCP) di un'organizzazione può ignorare l'accesso concesso da una politica basata sull'identità o sulle risorse.
• Una specifica regola di negazione ha la precedenza su qualsiasi accesso consentito in altri parametri.

Tutorial AWS IAM

Amazon offre tutorial per coloro che desiderano saperne di più sulla configurazione dell'identità e della gestione degli accessi su AWS.

I problemi relativi alla configurazione di AWS IAM e al suo utilizzo corretto sono complessi. Per assicurarsi che sia più facile per i nuovi clienti utilizzare il sistema, Amazon ha prodotto molti tutorial utili che includono:

• Delega Console di fatturazione Accesso alla Console di fatturazione
• Utilizza i ruoli IAM per l'account AWS per delegare l'accesso
• Crea una prima politica gestita dal cliente
• Consenti agli utenti di configurare le credenziali e le impostazioni MFA

AWS è il leader del settore per molte ragioni. Amazon aveva bisogno di questi servizi cloud per le sue operazioni. È diventato evidente che offrire questi servizi ad altri era un'opportunità commerciale per Amazon con un alto potenziale. Ora, ciò che è iniziato come attività secondaria per Amazon è diventato una parte importante dell'infrastruttura Internet mondiale.

L'utilizzo del sistema AWS è quasi onnipresente con l'utilizzo di Internet nel suo insieme. Prenditi il ​​tempo necessario per configurare le policy IAM per proteggere la sicurezza con attenzione ai dettagli. La gestione del sistema IAM è una priorità assoluta per gli amministratori di rete. Combina questo con controlli di sicurezza IT regolari per scoprire eventuali problemi.