AWS IAM: gerenciamento e segurança

Proteger as informações contra roubos, vazamentos intencionais, acidentais ou qualquer atividade que comprometa a integridade dos dados é uma das principais preocupações de muitas empresas e por isso, é tratado como prioridade por provedores de nuvem como a AWS que oferece diversos produtos e serviços de segurança. Entre eles destacamos o mais amplamente usado, o IAM. 

 

O que é IAM ? 

O AWS IAM – Identity and Access Management é um serviço que tem como foco controlar os acessos aos serviços e recursos da AWS. É o ponto de partida para qualquer cuidado de segurança na nuvem, pois permite criar e gerenciar usuários, grupos e controlar permissões de acesso.

Destacamos abaixo alguns dos principais recursos do IAM:

  • Acesso compartilhado à conta da AWS – é o principal recurso do IAM que concede permissão à outras pessoas para administrar e usar recursos na conta AWS sem necessidade de compartilhar senha ou chave de acesso.
  • Permissões granulares – concede permissões distintas a diversas pessoas para diferentes recursos. Para simplificar, é possível conceder acesso ao EC2, S3, DynamoDB, Redshift e outros serviços da AWS para vários usuários. Em outro caso, conceder permissão somente de leitura de alguns buckets do S3 para usuários específicos e nada mais. 
  • Autenticação multifator (MFA) – permite adicionar uma segurança extra à partir de mais um fator. Os usuários fornecem além do usuário e senha, uma senha única que é gerada aleatoriamente em um aplicativo.
  • Federação de identidade – permite aos usuários, que já possuem senhas em redes corporativas ou outros provedores de identidade, obterem acesso temporário à conta AWS.  
  • Conformidade com PCI DSS – segue as conformidades referentes ao processamento, armazenamento e transmissão de dados de cartão de crédito por comerciantes ou provedores de serviços.
  • Garantia de informações – permite receber registros de log com informações baseadas em identidades do IAM através do AWS CloudTrail. 

 

Controle de acesso 

Além dos recursos citados acima, o IAM possibilita controlar os acessos aos recursos da AWS através de funções e políticas. 

Uma função do IAM ou IAM role – termo usado no inglês, é semelhante ao usuário do IAM, por ser uma identidade com políticas de permissão que determinam o que pode ou não fazer na AWS. Porém em vez de ser associado exclusivamente a uma pessoa, uma função pode ser usada por softwares para acesso sistemático à AWS.

Outra forma de gerenciar o acesso na AWS é através das políticas do IAM que podem ser anexadas a usuários, grupos, funções ou recursos da AWS. As políticas são armazenadas na AWS como documentos JSON e podem ser baseadas em identidade, recurso, limite de permissão, entre outros. 

 

O que é o IAM Access Analyzer?

O IAM Access Analyzer é um novo recurso lançado no re:Invent 2019 que simplifica a tarefa das equipes e dos administradores de segurança de garantir que as políticas concedam apenas o acesso planejado aos recursos. 

Ou seja, o foco é verificar os recursos da conta, como buckets do Amazon S3 ou funções do IAM compartilhados com entidades externas para identificar o acesso não intencional a recursos e dados e causar risco à segurança. 

 

Conformidade com CIS 

Os benchmarks do CIS são padrões globais de segurança na internet que tem como objetivo ajudar organizações a melhorar sua postura de segurança. Embora não possuam valor regulatório, funcionam como modelos de conformidade, e em relação a ambientes de computação em nuvem como AWS, prescrevem recomendações em 4 formas: gerenciamento de identidade e acesso, log, monitoramento e rede.

Para saber mais sobre esse modelo de conformidade, clique aqui e acesse nosso post. 

Na AWS, a maioria das preocupações relacionadas ao controle de identidade e acesso são gerenciadas pelo serviço do IAM. Portanto, listamos abaixo algumas recomendações de melhores práticas do IAM.

  • Evitar o uso da conta root;
  • Exigir usuários do IAM com MFA ativado;
  • Definir uma política de senha específica;
  • Utilizar funções do IAM;
  • Conceder o privilégio mínimo;

 

Conte com a gente 

Utilizar os recursos fornecidos pela AWS sem dúvidas favorece a proteção e segurança dos dados. Porém, quando esses recursos são mal configurados, podem gerar grandes impactos para a organização. 

Para isso conte com o CleanCloud Score, produto de compliance que oferece mais de 100 verificações de vulnerabilidades para manter a nuvem AWS em conformidade com o CIS Benchmarks e outros frameworks como LGDP.