Com tantos indivíduos diferentes em sua organização se envolvendo na nuvem e fazendo ajustes, pode ser difícil rastrear, gerenciar e proteger. Também pode apresentar desafios ao já complicado processo de gerenciamento de custos e otimização da nuvem. Os direitos do usuário são uma peça-chave do quebra-cabeça, permitindo que você atribua diferentes hierarquias para que apenas indivíduos que devem estar dentro de uma faceta ou projeto dentro do seu espaço de nuvem tenham acesso a ele.
ITDR, cunhado por Gartner em seu 'Gartner® identifica as principais tendências de segurança e gerenciamento de riscos para 2022' descreve as ferramentas e melhores práticas que as empresas podem usar para defender seus sistemas de identidade. ITDR, ou detecção e resposta a ameaças de identidade, consiste em soluções de segurança cibernética para proteger identidades, que são essenciais para todo o uso moderno da nuvem.
Para aqueles que usam o Amazon Web Services para suas necessidades de nuvem, ter uma estratégia eficaz de AWS IAM elaborada pode ajudá-los muito a reduzir as chances de ataques cibernéticos, violações e riscos de perda de dados. Quando ocorrem ataques cibernéticos, eles também podem resultar em gastos de orçamento de nuvem incorridos por intrusos, o que pode ser caro.
“As organizações têm investido esforços consideráveis para melhorar os recursos de IAM, mas muito disso tem sido focado em tecnologia para melhorar a autenticação do usuário, o que na verdade aumenta a superfície de ataque para uma parte fundamental da infraestrutura de segurança cibernética”, disse o vice-presidente de pesquisa da Gartner, Peter Firstbrook. “As ferramentas de ITDR podem ajudar a proteger os sistemas de identidade, detectar quando eles são comprometidos e permitir uma correção eficiente.”
Então, o que é AWS IAM e como sua empresa deve abordá-lo? Como você pode recorrer ao AWS IAM para evitar tráfego irrestrito e evitar que problemas de segurança surjam?
O que é AWS IAM?
O AWS Identity and Access Management (IAM) é essencialmente um serviço online que ajuda você a controlar o acesso aos recursos da AWS. Com a segurança em mente, o AWS Identity and Access Management (IAM) permite que os usuários gerenciem identidades e acesso aos serviços e recursos da AWS. Aqui está um artigo muito completo da AWS, cujas partes estão resumidas abaixo.
Com o AWS Identity and Access Management, você pode identificar quem ou o que pode acessar diferentes serviços e recursos dentro da AWS, bem como gerenciar centralmente permissões específicas. Os usuários também podem analisar seus direitos de acesso para refinar ainda mais as permissões em seus serviços da AWS.
As equipes de FinOps usam o IAM para controlar quem é autenticado, ou seja, quem pode fazer login, e quem tem autorização real para usar os recursos da empresa.
Para recuar um pouco, quando os usuários fazem login em suas contas AWS, há uma identidade de login que oferece acesso total a todos os serviços e recursos da AWS dentro da conta. É chamado de usuário root da conta AWS. Ele pode ser acessado com o endereço de e-mail original e a senha que foram usados ao abrir a conta. Esta conta de usuário root não deve ser usada para concluir tarefas diárias. Em vez disso, ela deve ser usada apenas para tarefas específicas como essas.
Se você está apenas se familiarizando com o AWS IAM, confira este vídeo que oferece uma boa Introdução ao AWS Identity and Access Management, bem como este recurso em controlando o tráfego.
O que são funções do AWS IAM?
As maiores violações acontecem quando dados e privilégios de usuários caem nas mãos erradas. Além de apenas entender a conta de usuário root, é importante estar ciente das diferentes funções e como pensar sobre elas e usá-las dentro da sua hierarquia e conta da AWS. Com as funções certas em vigor, a otimização de custos e a segurança da AWS podem ser mais fáceis de serem alcançadas.
Por exemplo, com IAM, você também poderá ter acesso compartilhado à sua conta AWS. Isso significa que você pode conceder permissão para ser um administrador e usar recursos na sua conta AWS sem precisar compartilhar uma senha ou chave de acesso com eles.
Além disso, a capacidade de ter permissões granulares significa que você pode conceder várias permissões a indivíduos dentro de sua empresa para serem usadas em vários recursos. Essa capacidade é útil, pois você provavelmente não quer que todos tenham acesso ao Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon DynamoDB e a lista continua. Em vez disso, você pode oferecer acesso somente leitura apenas a instâncias ou permissão de administrador para outras instâncias. Por exemplo, o financeiro pode querer apenas acessar suas informações de cobrança sem precisar acessar outros lugares.
O que também é útil é a capacidade de fornecer acesso seguro à AWS para aplicativos que rodam no Amazon EC2. Essa capacidade significa que você pode utilizar recursos do IAM para fornecer acesso para que aplicativos rodem em diferentes recursos da AWS.
Outro ótimo método para ajudar com a segurança do usuário é a autenticação multifator (MFA). Os usuários podem adicionar autenticação de dois fatores a uma conta ou para usuários individuais para segurança extra garantida. Esse processo envolve fazer login não apenas com uma senha, mas com um código que é enviado para seus dispositivos configurados para uma camada extra de segurança.
Por fim, você também pode conceder direitos de acesso temporários aos usuários. Isso ajuda as pessoas com quem você trabalha em toda a empresa a obter acesso temporário à sua conta AWS para ver certas coisas somente quando precisarem.
Todos esses recursos ajudam a impulsionar o gerenciamento de custos da AWS também, garantindo que as pessoas certas tenham o acesso certo somente nos momentos certos. Isso pode impedir que as pessoas entrem em lugares onde não deveriam estar dentro da AWS e fechar as oportunidades de ataques cibernéticos ocorrerem com verificações de login adicionais ou acesso de permissão especial em vigor.
Também há muitos recursos de segurança que existem fora do IAM que vale a pena considerar também. Esses detalhes podem ser encontrado aqui.
Como abordar o risco em uma visão geral
As empresas devem sempre pensar em como gerenciar e prevenir ameaças à segurança cibernética. As equipes de FinOps devem ter ferramentas em vigor que possam ajudar a fazer algumas ou todas as seguintes ações:
- Determinar as primeiras etapas de resposta quando ocorrerem eventos de risco
- Faça pontuação de risco
- Realizar análise de dados da postura de segurança do ambiente do Active Directory
- Realizar gerenciamento de caminho de ataque e análise de impacto
- Configurar integrações com ferramentas de gerenciamento de informações e eventos de segurança (SIEM) e automação e resposta de orquestração de segurança (SOAR)
- Monitoramento ao vivo de comportamentos de tempo de execução para indicadores comuns de comprometimento
- Configure o aprendizado de máquina ou a análise para identificar comportamentos ou eventos anormais
- Configurar remediação e resposta automatizadas para incidentes
- Configure painéis, alertas e relatórios para gerenciar incidentes (que é onde Hystax OptScale pode vir para ajudar)
Quais são as práticas recomendadas do AWS IAM?
Para proteger melhor seus recursos da AWS, aqui estão algumas práticas recomendadas úteis da AWS para o AWS Identity and Access Management (IAM):
- Use a federação com um provedor de identidade para acesso a
- AWS usando credenciais temporárias
- Faça com que as cargas de trabalho usem credenciais temporárias com funções do IAM para acessar a AWS
- Use a autenticação multifator (MFA) disponível para você
- Alterne as chaves de acesso regularmente para casos de uso que exigem credenciais de longo prazo
- Certifique-se de que suas credenciais de usuário root estejam protegidas e evite usá-las para tarefas diárias
- Usar permissões de privilégio mínimo quando possível
- Use o IAM Access Analyzer para gerar políticas de privilégios mínimos e verificar o acesso a recursos públicos e entre contas
- Manter usuários, funções, permissões e credenciais atualizar e remover elementos desnecessários
- Defina condições em seu Políticas do IAM para restringir o acesso
- Utilize o limites de permissões para atribuir gerenciamento de permissões dentro de contas
Otimização gratuita de custos de nuvem e gerenciamento aprimorado de recursos de ML/IA para toda a vida
Considerações adicionais sobre a estratégia AWS IAM
Ao considerar sua estratégia AWS IAM, sinta-se à vontade para também ler nossos artigos de instruções para obter informações mais esclarecedoras. Por exemplo, você pode ler sobre 'A melhor maneira de encontrar usuários inativos do IAM com acesso ao AWS Management Console para evitar problemas de segurança', assim como 'Como encontrar todos os grupos de segurança da AWS que permitem tráfego irrestrito'.
Em geral, o Hystax OptScale está sendo usado por muitas empresas que operam na AWS e em várias plataformas de nuvem para agilizar suas tarefas e garantir que tráfego irrestrito e segurança à prova de balas sejam mantidos em mente. Com a otimização de custos de nuvem sendo um feito complicado, o Hystax OptScale foi projetado para oferecer maior transparência de custos de nuvem para ajudar as equipes a se comunicarem e verem o panorama geral mais claramente por meio de painéis personalizados.
Com OptScale, você poderá configurar uma hierarquia de usuários para garantir que as pessoas certas tenham acesso para fazer alterações, mas essa transparência será fornecida a todos que você desejar para melhores previsões para atender às necessidades de segurança, saber quando é possível cortar custos de nuvem e muito mais.
Se você quiser mais conselhos sobre como reduzir os custos da nuvem ou mais detalhes sobre como podemos trabalhar juntos para otimizar os custos da nuvem que você está vendo e tentando manter sob controle, não hesite em entrar em contato conosco. Também podemos fornecer Soluções de recuperação de desastres para ajudar a resolver problemas caso ocorra um evento ou uma violação.
A Hystax OptScale oferece a primeira solução de gerenciamento de custos FinOps e multi-cloud de código aberto totalmente disponível no Apache 2.0 no GitHub → https://github.com/hystax/optscale
👆🏻 A melhor prática de segurança é remover as senhas do AWS Management Console quando os usuários saem da sua organização, não precisam mais delas ou apenas usam chaves de acesso (uma combinação de um ID de chave de acesso e uma chave de acesso secreta) para acessar a conta da AWS.
✔️ Encontre a melhor maneira de encontrar usuários inativos do IAM com acesso ao console de gerenciamento da AWS para evitar problemas de segurança → https://hystax.com/the-best-way-to-find-inactive-iam-users-with-aws-management-console-access-to-avoid-security-issues
