SEC 2: Comment gérez-vous les identités des personnes et des machines ?

Il existe deux types d'identités que vous devez gérer dans l'exploitation de charges de travail AWS sécurisées. Comprendre le type d'identité à gérer et dont vous devez autoriser l'accès vous permet de garantir l'accès aux ressources adéquates, dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos environnements et applications AWS. Il s'agit des membres de votre organisation ou des utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos ressources AWS via un navigateur Web, une application cliente ou des outils de ligne de commande interactifs. Identités de machines : vos applications de service, outils opérationnels et charges de travail nécessitent une identité pour envoyer des demandes aux services AWS, par exemple pour lire des données. Ces identités comprennent des machines s'exécutant dans votre environnement AWS, telles que des instances Amazon EC2 ou des fonctions AWS Lambda. Vous pouvez également gérer les identités de machines pour les tiers qui ont besoin d'un accès. De plus, certaines machines en dehors d'AWS peuvent avoir besoin d'accéder à votre environnement AWS.

Ressources

Mastering identity at every layer of the cake
Managing user permissions at scale with AWS SSO
Best Practices for Managing, Retrieving, and Rotating Secrets at Scale
IAM Best Practices
The AWS Account Root User
Getting Started with AWS Secrets Manager
Temporary Security Credentials
Identity Providers and Federation
Security Partner Solutions: Access and Access Control

Bonnes pratiques:

• Utilisez de solides mécanismes de connexion: Appliquez une longueur minimale pour les mots de passe et formez les utilisateurs à éviter les mots de passe courants ou réutilisés. Appliquez la MFA (Multi-Factor Authentication) avec des mécanismes logiciels ou matériels pour fournir une couche supplémentaire.

• Utilisez des informations d'identification temporaires: Demandez aux identités d'acquérir des informations d'identification temporaires de façon dynamique. Pour les identités humaines, utilisez AWS Single Sign-On, ou bien la fédération avec des rôles IAM pour accéder aux comptes AWS. Pour les identités de machines, demandez l'utilisation de rôles IAM au lieu de clés d'accès à long terme.

• Stockez et utilisez des secrets en toute sécurité: Certaines identités humaines et de machines nécessitent des secrets tels que des mots de passe pour des applications tierces. Stockez-les avec une rotation automatique à l'aide des dernières normes du secteur dans un service spécialisé.

• Appuyez-vous sur un fournisseur d'identité centralisé: Pour les identités humaines, appuyez-vous sur un fournisseur d'identité vous permettant de gérer les identités dans un emplacement centralisé. Vous pourrez ainsi créer, gérer et révoquer l'accès depuis un seul emplacement, ce qui facilite la gestion de l'accès. Cela réduit le nombre d'informations d'identification nécessaires et permet l'intégration aux processus RH.

• Contrôlez et effectuez régulièrement une rotation des informations d'identification: Lorsque l'utilisation d'informations d'identification temporaires est impossible et que vous avez besoin d'informations d'identification à long terme, vérifiez les informations d'identification pour vous assurer que les contrôles définis (par exemple, MFA) sont appliqués, changés régulièrement et disposent d'un niveau d'accès approprié.

• Tirez parti des groupes d'utilisateurs et des attributs: Placez les utilisateurs ayant des exigences de sécurité communes dans les groupes définis par votre fournisseur d'identité et mettez en place des mécanismes pour s'assurer que les attributs pouvant être utilisés pour le contrôle d'accès (par exemple, service ou emplacement) sont corrects et mis à jour. Utilisez ces groupes et attributs, plutôt que des utilisateurs individuels, pour contrôler l'accès. Cela vous permet de gérer l'accès de manière centralisée en modifiant l'appartenance à un groupe ou les attributs d'un utilisateur une fois, plutôt que de mettre à jour de nombreuses stratégies individuelles lorsque les besoins d'accès d'un utilisateur changent.

Plan d'amélioration

Utilisez de solides mécanismes de connexion

Créer une stratégie IAM pour appliquer la connexion MFA: Créez une stratégie IAM gérée par le client qui interdit toutes les actions IAM, à l'exception de celles qui permettent à un utilisateur d'assumer des rôles, de modifier ses propres informations d'identification et de gérer ses périphériques MFA sur la page « Mes informations d'identification de sécurité ».
https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1

Activer la fonction MFA dans votre fournisseur d'identité: Activez la fonction MFA dans le fournisseur d'identité ou le service d'authentification unique comme AWS Single Sign-On (SSO) que vous utilisez.
https://aws.amazon.com/iam/details/mfa/

Configurer une stratégie stricte de gestion des mots de passe: Configurez une stratégie stricte de gestion des mots de passe dans IAM et un système d'identités fédérées pour assurer une meilleure protection contre les attaques par force brute.
http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html

Effectuer une rotation régulière des informations d'identification: Assurez-vous que les administrateurs de votre charge de travail modifient régulièrement leurs mots de passe et clés d'accès (le cas échéant).
Rotate credentials regularly

Utilisez des informations d'identification temporaires

Implémentez des stratégies de moindre privilège: Attribuez des stratégies d'accès avec le moins de privilèges possibles aux groupes et rôles IAM pour rester cohérent avec le rôle ou la fonction de l'utilisateur que vous avez défini.
Grant least privilege

Supprimer des autorisations inutiles: Implémentez la stratégie de moindre privilège en supprimant les autorisations superflues.
Reducing policy scope by viewing user activity
View role access

Prendre en compte les limites d'autorisations: Une limite des autorisations est une fonction avancée permettant d'utiliser une stratégie gérée qui définit les autorisations maximales qu'une identité IAM peut recevoir d'une stratégie basée sur une identité. La limite des autorisations d'une entité lui permet d'exécuter uniquement les actions autorisées par ses stratégies basées sur l'identité et ses limites d'autorisations.
Lab: IAM permissions boundaries delegating role creation

Prendre en compte les balises de ressource pour les autorisations: Vous pouvez utiliser des balises pour contrôler l'accès à vos ressources AWS qui prennent en charge le balisage. Vous pouvez également baliser des utilisateurs et des rôles IAM pour contrôler les éléments auxquels ils peuvent accéder.
Lab: IAM tag based access control for EC2
Attribute-based access control (ABAC)

Stockez et utilisez des secrets en toute sécurité

Utiliser AWS Secrets Manager: AWS Secrets Manager est un service AWS qui vous permet de facilement gérer des informations secrètes. Il peut s'agir d'informations d'identification pour une base de données, de mots de passe, de clés d'API tierces, voire de texte arbitraire.
AWS Secrets Manager

Appuyez-vous sur un fournisseur d'identité centralisé

Centralisez l'accès administratif: Créez une entité de fournisseur d'identité IAM pour établir une relation d'approbation entre votre compte AWS et votre fournisseur d'identité (IdP). IAM prend en charge les fournisseurs d'identité compatibles avec OpenID Connect (OIDC) ou SAML 2.0 (Security Assertion Markup Language 2.0).
Identity Providers and Federation

Centraliser l'accès aux applications: Pensez à utiliser Amazon Cognito pour centraliser l'accès aux applications. Cognito vous permet d'ajouter rapidement et facilement une inscription et une connexion utilisateur ainsi qu'un contrôle d'accès à vos applications Web et mobiles. Amazon Cognito s'adapte à des millions d'utilisateurs et prend en charge la connexion avec les fournisseurs d'identité sociale comme Facebook, Google et Amazon, ainsi qu'avec les fournisseurs d'identité entreprise via SAML 2.0.
Amazon Cognito

Supprimer les anciens utilisateurs et groupes IAM: Supprimez les utilisateurs et groupes IAM qui ne sont plus nécessaires une fois que vous avez commencé à utiliser un fournisseur d'identité (IdP).
Finding unused credentials
Deleting an IAM group

Contrôlez et effectuez régulièrement une rotation des informations d'identification

Contrôlez régulièrement les informations d'identification: Utilisez les rapports d'informations d'identification et IAM Access Analyzer pour auditer les informations d'identification et les autorisations IAM.
IAM Access Analyzer
Getting credential report
Lab: Automated IAM user cleanup

Utiliser des niveaux d'accès pour vérifier les autorisations IAM: Vérifiez et surveillez régulièrement chacune de vos stratégies IAM pour améliorer la sécurité de votre compte AWS. Veillez à ce que vos stratégies accordent le moins de privilèges possible pour n'effectuer que les actions nécessaires.
Use access levels to review IAM permissions

Envisager l'automatisation de la création et des mises à jour des ressources IAM: Afin de réduire les erreurs humaines, AWS CloudFormation peut être utilisé pour automatiser le déploiement des ressources IAM – y compris les rôles et les politiques–, car les modèles peuvent être vérifiés et contrôlés de version.
Lab: Automated deployment of IAM groups and roles

Tirez parti des groupes d'utilisateurs et des attributs

Configurez des groupes avec AWS Single Sign-On (SSO): AWS SSO vous permet de configurer des groupes d'utilisateurs et d'attribuer aux groupes le niveau d'autorisation souhaité.
AWS Single Sign-On - Manage Identities

Découvrez le contrôle d'accès basé sur les attributs (ABAC): Le contrôle d'accès basé sur les attributs (ABAC) est une stratégie d'autorisation qui définit les autorisations en fonction des attributs.
What Is ABAC for AWS?
Lab: IAM Tag Based Access Control for EC2