Con tantas personas diferentes en su organización incursionando en la nube y haciendo ajustes, puede resultar difícil realizar un seguimiento, administrar y proteger la información. También puede presentar desafíos para el ya complicado proceso de administración de costos y optimización de la nube. Los derechos de usuario son una pieza clave del rompecabezas, ya que le permiten asignar diferentes jerarquías para que solo las personas que deben estar dentro de una faceta o proyecto dentro de su espacio en la nube tengan acceso a él.
ITDR, acuñado por Gartner en su 'Gartner® identifica las principales tendencias en seguridad y gestión de riesgos para 2022 describe las herramientas y las mejores prácticas que las empresas pueden utilizar para defender sus sistemas de identidad. ITDR, o Detección y respuesta ante amenazas a la identidad, consiste en soluciones de ciberseguridad para proteger las identidades, que son fundamentales para todo uso moderno de la nube.
Para quienes utilizan Amazon Web Services para sus necesidades de nube, contar con una estrategia de IAM de AWS eficaz puede ayudarlos en gran medida a reducir las posibilidades de ciberataques, infracciones y riesgos de pérdida de datos. Cuando se producen ciberataques, también pueden generar gastos en el presupuesto de la nube por parte de los intrusos, lo que puede resultar costoso.
“Las organizaciones han dedicado un esfuerzo considerable a mejorar las capacidades de IAM, pero gran parte de ese esfuerzo se ha centrado en la tecnología para mejorar la autenticación de usuarios, lo que en realidad aumenta la superficie de ataque para una parte fundamental de la infraestructura de ciberseguridad”, afirmó Peter Firstbrook, vicepresidente de investigación de Gartner. “Las herramientas ITDR pueden ayudar a proteger los sistemas de identidad, detectar cuándo están comprometidos y permitir una solución eficiente”.
¿Qué es AWS IAM y cómo debería abordarlo su empresa? ¿Cómo puede recurrir a AWS IAM para evitar el tráfico sin restricciones y prevenir que surjan problemas de seguridad?
¿Qué es AWS IAM?
AWS Identity and Access Management (IAM) es básicamente un servicio en línea que le ayuda a controlar el acceso a los recursos de AWS. Teniendo en cuenta la seguridad, AWS Identity and Access Management (IAM) permite a los usuarios administrar identidades y el acceso a los servicios y recursos de AWS. Aquí hay un artículo muy completo. de AWS, partes de las cuales se resumen a continuación.
Con AWS Identity and Access Management, puede identificar quién o qué puede acceder a diferentes servicios y recursos dentro de AWS, así como administrar permisos específicos de forma centralizada. Los usuarios también pueden analizar sus derechos de acceso para refinar aún más los permisos en todos sus servicios de AWS.
Los equipos de FinOps utilizan IAM para controlar quién está autenticado, o puede iniciar sesión, y quién está autorizado, y quién tiene permiso real, para utilizar los recursos de la empresa.
Para retroceder un poco, cuando los usuarios inician sesión en sus cuentas de AWS, existe una identidad de inicio de sesión que ofrece acceso completo a todos los servicios y recursos de AWS dentro de la cuenta. Se denomina usuario raíz de la cuenta de AWS.. Se puede acceder con la dirección de correo electrónico y la contraseña originales que se utilizaron al abrir la cuenta. Esta cuenta de usuario raíz no debe usarse para realizar tareas diarias. En cambio, debe usarse solo para Tareas específicas como estas.
Si recién se está familiarizando con AWS IAM, mire este video que ofrece una buena introducción. Introducción a la gestión de identidad y acceso de AWS, así como este recurso sobre controlando el tráfico.
¿Qué son los roles de AWS IAM?
Las mayores infracciones ocurren cuando los datos y los privilegios de los usuarios caen en manos equivocadas. Además de comprender la cuenta de usuario raíz, es importante conocer los diferentes roles y saber cómo considerarlos y utilizarlos dentro de la jerarquía y la cuenta de AWS. Con los roles correctos, es más fácil lograr la optimización de costos y la seguridad de AWS.
Por ejemplo, con IAM, también podrás tener acceso compartido a tu cuenta de AWS. Esto significa que puedes otorgar permiso para ser administrador y usar recursos en tu cuenta de AWS sin necesidad de compartir una contraseña o clave de acceso con ellos.
Además, la capacidad de tener permisos granulares significa que puede otorgar varios permisos a personas dentro de su empresa para que los utilicen para varios recursos. Esta capacidad es útil ya que es probable que no desee que todos tengan acceso a Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon DynamoDB y la lista continúa. En cambio, puede ofrecer acceso de solo lectura solo a instancias o permiso de administrador a otras instancias. Por ejemplo, es posible que el departamento de finanzas solo desee ingresar a su información de facturación sin necesidad de acceder a otros lugares.
Otra característica útil es la posibilidad de proporcionar acceso seguro a AWS para las aplicaciones que se ejecutan en Amazon EC2. Esta capacidad significa que puede utilizar las funciones de IAM para proporcionar acceso a las aplicaciones para que se ejecuten en diferentes recursos de AWS.
Otro método excelente para ayudar con la seguridad del usuario es la autenticación multifactor (MFA). Los usuarios pueden agregar la autenticación de dos factores a una cuenta o a usuarios individuales para garantizar una seguridad adicional. Este proceso implica iniciar sesión no solo con una contraseña, sino con un código que se envía a sus dispositivos configurados para una capa adicional de seguridad.
Por último, también puede otorgar derechos de acceso temporales a los usuarios. Esto ayuda a las personas con las que trabaja en toda la empresa a obtener acceso temporal a su cuenta de AWS para ver determinadas cosas solo cuando las necesitan.
Todas estas capacidades también ayudan a mejorar la gestión de costos de AWS, lo que garantiza que las personas adecuadas tengan el acceso correcto solo en los momentos adecuados. Esto puede evitar que las personas ingresen a lugares en los que no deberían estar dentro de AWS y eliminar las oportunidades de que se produzcan ciberataques con verificaciones de inicio de sesión adicionales o acceso con permisos especiales.
También existen muchas características de seguridad que existen fuera de IAM y que vale la pena considerar. Estos detalles pueden ser: encontrado aquí.
Cómo abordar el riesgo desde una perspectiva general
Las empresas deben pensar siempre en cómo gestionar y prevenir las amenazas de ciberseguridad. Los equipos de FinOps deben contar con herramientas que puedan ayudar a hacer algunas o todas las siguientes cosas:
- Determinar los primeros pasos de respuesta cuando ocurren eventos de riesgo
- ¿Se realiza una puntuación de riesgo?
- Realizar análisis de datos sobre la postura de seguridad del entorno de Active Directory
- Realizar la gestión de la ruta de ataque y el análisis del impacto
- Configurar integraciones con herramientas de gestión de eventos e información de seguridad (SIEM) y automatización y respuesta de orquestación de seguridad (SOAR)
- Monitoreo en vivo de comportamientos en tiempo de ejecución para indicadores de compromiso comunes
- Configurar el aprendizaje automático o el análisis para identificar comportamientos o eventos anormales
- Configurar la remediación y respuesta automatizadas para incidentes
- Configurar paneles, alertas e informes para gestionar incidentes (que es donde Hystax OptScale puede venir a ayudar)
¿Cuáles son las mejores prácticas de AWS IAM?
Para proteger mejor sus recursos de AWS, aquí le presentamos algunas prácticas recomendadas útiles de AWS para AWS Identity and Access Management (IAM):
- Utilice la federación con un proveedor de identidad para acceder a
- AWS utiliza credenciales temporales
- Haga que las cargas de trabajo utilicen credenciales temporales con roles de IAM para acceder a AWS
- Utilice la autenticación multifactor (MFA) disponible para usted
- Cambie las claves de acceso periódicamente para los casos de uso que necesitan credenciales a largo plazo
- Asegúrese de que sus credenciales de usuario root estén protegidas y absténgase de usarlas para tareas diarias.
- Usar permisos con privilegios mínimos Cuando sea posible
- Utilice el analizador de acceso de IAM para generar políticas de privilegios mínimos y verificar el acceso a recursos públicos y entre cuentas
- Mantener usuarios, roles, permisos y credenciales Actualizar y eliminar elementos innecesarios
- Establezca condiciones en su Políticas de IAM para restringir el acceso
- Utilice el límites de permisos para asignar permisos de gestión dentro de las cuentas
Optimización gratuita de costos en la nube y gestión mejorada de recursos de ML/AI para toda la vida
Consideraciones adicionales sobre la estrategia de AWS IAM
Al considerar su estrategia de AWS IAM, no dude en consultar también nuestros artículos prácticos para obtener información más detallada. Por ejemplo, puede leer sobre "La mejor forma de encontrar usuarios de IAM inactivos con acceso a la consola de administración de AWS para evitar problemas de seguridad', así como 'Cómo encontrar todos los grupos de seguridad de AWS que permiten tráfico sin restricciones'.
En general, muchas empresas que operan en AWS y en múltiples plataformas de nube utilizan Hystax OptScale para optimizar sus tareas y garantizar que el tráfico sin restricciones y la seguridad a prueba de balas sean una prioridad. Dado que la optimización de los costos de la nube es una tarea complicada, Hystax OptScale está diseñado para ofrecer una mayor transparencia de los costos de la nube para ayudar a los equipos a comunicarse y ver el panorama general con mayor claridad a través de paneles personalizados.
Con OptScalePodrás configurar la jerarquía de usuarios para garantizar que las personas adecuadas tengan acceso para realizar cambios, pero esa transparencia se brinda a todos los que desees para obtener mejores predicciones para tener en cuenta las necesidades de seguridad, saber cuándo es posible reducir los costos de la nube y mucho más.
Si desea obtener más consejos sobre cómo reducir los costos de la nube o más detalles sobre cómo podemos trabajar juntos para optimizar los costos de la nube que está viendo y tratando de mantener a raya, no dude en comunicarse con nosotros. También podemos brindarle Soluciones de recuperación ante desastres para ayudar a resolver problemas en caso de que ocurra un evento o se produzca una infracción.
Hystax OptScale ofrece la primera solución de gestión de costos FinOps y multicloud de código abierto que está completamente disponible en Apache 2.0 en GitHub → https://github.com/hystax/optscale
La mejor práctica de seguridad es eliminar las contraseñas de la consola de administración de AWS cuando los usuarios abandonan su organización, ya no las necesitan o simplemente usan claves de acceso (una combinación de un ID de clave de acceso y una clave de acceso secreta) para acceder a la cuenta de AWS.
✔️ Encuentre la mejor manera de encontrar usuarios inactivos de IAM con acceso a la consola de administración de AWS para evitar problemas de seguridad → https://hystax.com/the-best-way-to-find-inactive-iam-users-with-aws-management-console-access-to-avoid-security-issues
