SEC 2: Wie verwalten Sie Identitäten für Personen und Maschinen?

Es gibt zwei Arten von Identitäten, die Sie beim Betrieb sicherer AWS-Workloads verwalten müssen. Wenn Sie wissen, welche Art von Identität Sie verwalten und wie Sie Zugriff gewähren müssen, können Sie sicherstellen, dass die richtigen Identitäten unter den richtigen Bedingungen Zugriff auf die richtigen Ressourcen haben. Menschliche Identitäten: Ihre Administratoren, Entwickler, Bediener und Endbenutzer benötigen eine Identität für den Zugriff auf Ihre AWS-Umgebungen und -Anwendungen. Dies sind Mitglieder Ihrer Organisation oder externe Benutzer, mit denen Sie zusammenarbeiten, und die mit Ihren AWS-Ressourcen über einen Webbrowser, eine Client-Anwendung oder interaktive Befehlszeilen-Tools interagieren. Maschinenidentitäten: Ihre Service-Anwendungen, betrieblichen Tools und Workloads benötigen eine Identität, um Anforderungen an AWS-Services zu stellen, z. B. um Daten zu lesen. Zu diesen Identitäten gehören Maschinen, die in Ihrer AWS-Umgebung ausgeführt werden, z. B. Amazon EC2-Instances oder AWS Lambda-Funktionen. Sie können auch Maschinenidentitäten für externe Parteien verwalten, die Zugriff benötigen. Darüber hinaus verfügen Sie möglicherweise auch über Maschinen außerhalb von AWS, die Zugriff auf Ihre AWS-Umgebung benötigen.

Ressourcen

Mastering identity at every layer of the cake
Managing user permissions at scale with AWS SSO
Best Practices for Managing, Retrieving, and Rotating Secrets at Scale
IAM Best Practices
The AWS Account Root User
Getting Started with AWS Secrets Manager
Temporary Security Credentials
Identity Providers and Federation
Security Partner Solutions: Access and Access Control

Bewährte Methoden:

• Starke Anmeldemechanismen verwenden: Erzwingen Sie die Mindestlänge des Passworts und informieren Sie Benutzer, um gängige oder wiederverwendete Passwörter zu vermeiden. Erzwingen Sie die Multi-Factor Authentication (MFA) mit Software- oder Hardwaremechanismen, um für zusätzliche Sicherheit zu sorgen.

• Verwenden von temporären Anmeldeinformationen: Erzwingen Sie, dass Identitäten temporäre Anmeldeinformationen dynamisch abrufen müssen. Verwenden Sie für Identitäten von Arbeitskräften AWS Single Sign-On oder einen Verbund mit IAM-Rollen, um auf AWS-Konten zuzugreifen. Für Maschinenidentitäten sollten Sie IAM-Rollen anstelle von langfristigen Zugriffsschlüsseln fordern.

• Sicheres Speichern und Verwenden von geheimen Schlüsseln: Speichern Sie Arbeitskräfte- und Maschinenidentitäten, die Geheimnisse wie Passwörter für Drittanbieter-Anwendungen erfordern, mit automatischer Rotation unter Verwendung der neuesten Branchenstandards in einem spezialisierten Service.

• Verlassen Sie sich auf einen zentralen Identitätsanbieter: Verlassen Sie sich bei Identitäten von Arbeitskräften auf einen Identitätsanbieter, mit dem Sie Identitäten zentral verwalten können. Auf diese Weise können Sie den Zugriff von einem einzelnen Standort aus erstellen, verwalten und widerrufen, wodurch die Zugriffsverwaltung vereinfacht wird. Dies reduziert die Notwendigkeit mehrerer Anmeldeinformationen und bietet die Möglichkeit der Integration in HR-Prozesse.

• Regelmäßiges Überprüfen und Rotieren von Anmeldeinformationen: Wenn Sie sich nicht auf temporäre Anmeldeinformationen verlassen können und langfristige Anmeldeinformationen benötigen, prüfen Sie die Anmeldeinformationen, um sicherzustellen, dass die definierten Kontrollen (z. B. MFA) durchgesetzt und regelmäßig rotiert werden sowie über die entsprechende Zugriffsebene verfügen.

• Nutzen von Benutzergruppen und Attributen: Platzieren Sie Benutzer mit allgemeinen Sicherheitsanforderungen in Gruppen, die von Ihrem Identitätsanbieter definiert wurden, und implementieren Sie Mechanismen, um sicherzustellen, dass Benutzerattribute, die für die Zugriffskontrolle verwendet werden können (z. B. Abteilung oder Standort), korrekt und auf dem neuesten Stand sind. Verwenden Sie diese Gruppen und Attribute anstelle einzelner Benutzer, um den Zugriff zu steuern. Auf diese Weise können Sie den Zugriff zentral verwalten, indem Sie die Gruppenmitgliedschaft oder Attribute eines Benutzers einmal ändern, anstatt viele einzelne Richtlinien zu aktualisieren, wenn sich die Zugriffsanforderungen eines Benutzers ändern.

Verbesserungsplan

Starke Anmeldemechanismen verwenden

Erstellen einer IAM-Richtlinie zur Erzwingung der MFA-Anmeldung: Erstellen Sie eine vom Kunden verwaltete IAM-Richtlinie, die alle IAM-Aktionen untersagt, außer jener, mit denen die Benutzer auf der Seite "My Security Credentials" Rollen übernehmen, ihre Anmeldeinformationen ändern und ihre MFA-Geräte verwalten können.
https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1

Aktivieren von MFA im Identitätsanbieter: Aktivieren Sie MFA im verwendeten Identitätsanbieter oder Single Sign-On-Service, wie z. B. AWS Single Sign-On (SSO).
https://aws.amazon.com/iam/details/mfa/

Konfigurieren einer Richtlinie für sichere Passwörter: Konfigurieren Sie eine Richtlinie für sichere Passwörter in IAM- und Identitätsverbundsystemen, um sich vor Brute-Force-Angriffen zu schützen.
http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html

Regelmäßiges Ändern von Anmeldeinformationen: Sorgen Sie dafür, dass Administratoren Ihrer Workload die eigenen Passwörter und (ggf.) Zugriffsschlüssel regelmäßig ändern.
Rotate credentials regularly

Verwenden von temporären Anmeldeinformationen

Implementieren von Richtlinien für geringste Zugriffsrechte: Weisen Sie IAM-Gruppen und -Rollen Zugriffsrechte zu, die in ihrem Umfang möglichst gering und an den Tätigkeitsbereich der Benutzer angepasst sind.
Grant least privilege

Entfernen von nicht benötigten Berechtigungen: Implementieren Sie das Prinzip der geringsten Zugriffsrechte, indem Sie unnötige Berechtigungen zurücknehmen.
Reducing policy scope by viewing user activity
View role access

Berücksichtigen von Berechtigungsgrenzen: Eine Berechtigungsgrenze ist eine erweiterte Funktion für eine verwaltete Richtlinie. Sie legt die maximalen Berechtigungen fest, die mit einer identitätsbasierten Richtlinie einer IAM-Entität erteilt werden kann. Eine Berechtigungsgrenze erlaubt einer Entität nur die Ausführung jener Aktionen, die sowohl nach ihren identitätsbasierten Richtlinien als auch nach ihren Berechtigungsgrenzen zulässig sind.
Lab: IAM permissions boundaries delegating role creation

Erwägen von Ressourcen-Tags für Berechtigungen: Mit Tags können Sie den Zugriff auf die AWS-Ressourcen steuern, die das Tagging unterstützen. Sie können auch IAM-Benutzer und -Rollen taggen, um festzulegen, worauf sie zugreifen können.
Lab: IAM tag based access control for EC2
Attribute-based access control (ABAC)

Sicheres Speichern und Verwenden von geheimen Schlüsseln

Verwenden von AWS Secrets Manager: AWS Secrets Manager ist ein AWS-Service für die einfache Verwaltung von geheimen Schlüsseln. Geheime Schlüssel können Datenbank-Anmeldeinformationen, Passwörter, API-Schlüssel von Dritten und sogar beliebiger Text sein.
AWS Secrets Manager

Verlassen Sie sich auf einen zentralen Identitätsanbieter

Zentralisieren des administrativen Zugriffs: Erstellen Sie im IAM-Identitätsanbieter eine Entität, um eine Vertrauensstellung zwischen Ihrem AWS-Konto und dem Identitätsanbieter (IdP) herzustellen. IAM unterstützt Identitätsanbieter, die mit OpenID Connect (OIDC) oder SAML 2.0 (Security Assertion Markup Language 2.0) kompatibel sind.
Identity Providers and Federation

Zentralisieren des Anwendungszugriffs: Ziehen Sie für die Zentralisierung des Anwendungszugriffs Amazon Cognito in Erwägung. Damit können Sie Ihren Webanwendungen und mobilen Apps auf schnelle und einfache Weise die Benutzerregistrierung und -anmeldung sowie die Zugriffskontrolle hinzufügen. Amazon Cognito lässt sich auf Millionen von Benutzern hochskalieren. Es unterstützt die Anmeldung mit Social-Identity-Anbietern wie Facebook, Google und Amazon sowie mit Unternehmens-Identitätsanbietern über SAML 2.0.
Amazon Cognito

Entfernen alter IAM-Benutzer und -Gruppen: Sobald Sie einen Identitätsanbieter (IdP) verwenden, sollten Sie nicht mehr benötigte IAM-Benutzer und -Gruppen entfernen.
Finding unused credentials
Deleting an IAM group

Regelmäßiges Überprüfen und Rotieren von Anmeldeinformationen

Regelmäßige Prüfung der Anmeldeinformationen: Verwenden Sie Berichte zu Anmeldeinformationen und IAM Access Analyzer, um IAM-Anmeldeinformationen und -Berechtigungen zu überprüfen.
IAM Access Analyzer
Getting credential report
Lab: Automated IAM user cleanup

Überprüfen von IAM-Berechtigungen mithilfe von Zugriffsebenen: Um die Sicherheit Ihres AWS-Kontos zu erhöhen, sollten Sie Ihre IAM-Richtlinien regelmäßig überprüfen und überwachen. Sorgen Sie dafür, dass mit den Richtlinien Zugriffsrechte nur in dem Umfang erteilt werden, wie sie für die jeweiligen Aktionen erforderlich sind.
Use access levels to review IAM permissions

Erwägen der Automatisierung der Erstellung und Aktualisierung von IAM-Ressourcen: Mit AWS CloudFormation kann die Bereitstellung von IAM-Ressourcen einschließlich Rollen und Richtlinien automatisiert werden. So lässt sich die Zahl menschlicher Fehler verringern, da die Vorlagen verifiziert und ihre Versionen kontrolliert werden können.
Lab: Automated deployment of IAM groups and roles

Nutzen von Benutzergruppen und Attributen

Wenn Sie AWS Single Sign-On (SSO) verwenden, konfigurieren Sie Gruppen: AWS SSO bietet Ihnen die Möglichkeit, Benutzergruppen zu konfigurieren und Gruppen die gewünschte Berechtigungsstufe zuzuweisen.
AWS Single Sign-On - Manage Identities

Attribut-basierte Zugriffskontrolle (ABAC): Attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, die Berechtigungen basierend auf Attributen definiert.
What Is ABAC for AWS?
Lab: IAM Tag Based Access Control for EC2