Proteger as informações contra roubos, vazamentos intencionais, acidentais ou qualquer atividade que comprometa a integridade dos dados é uma das principais preocupações de muitas empresas e por isso, é tratado como prioridade por provedores de nuvem como a AWS que oferece diversos produtos e serviços de segurança. Entre eles destacamos o mais amplamente usado, o IAM.
O que é IAM ?
O AWS IAM – Identity and Access Management é um serviço que tem como foco controlar os acessos aos serviços e recursos da AWS. É o ponto de partida para qualquer cuidado de segurança na nuvem, pois permite criar e gerenciar usuários, grupos e controlar permissões de acesso.
Destacamos abaixo alguns dos principais recursos do IAM:
- Acesso compartilhado à conta da AWS – é o principal recurso do IAM que concede permissão à outras pessoas para administrar e usar recursos na conta AWS sem necessidade de compartilhar senha ou chave de acesso.
- Permissões granulares – concede permissões distintas a diversas pessoas para diferentes recursos. Para simplificar, é possível conceder acesso ao EC2, S3, DynamoDB, Redshift e outros serviços da AWS para vários usuários. Em outro caso, conceder permissão somente de leitura de alguns buckets do S3 para usuários específicos e nada mais.
- Autenticação multifator (MFA) – permite adicionar uma segurança extra à partir de mais um fator. Os usuários fornecem além do usuário e senha, uma senha única que é gerada aleatoriamente em um aplicativo.
- Federação de identidade – permite aos usuários, que já possuem senhas em redes corporativas ou outros provedores de identidade, obterem acesso temporário à conta AWS.
- Conformidade com PCI DSS – segue as conformidades referentes ao processamento, armazenamento e transmissão de dados de cartão de crédito por comerciantes ou provedores de serviços.
- Garantia de informações – permite receber registros de log com informações baseadas em identidades do IAM através do AWS CloudTrail.
Controle de acesso
Além dos recursos citados acima, o IAM possibilita controlar os acessos aos recursos da AWS através de funções e políticas.
Uma função do IAM ou IAM role – termo usado no inglês, é semelhante ao usuário do IAM, por ser uma identidade com políticas de permissão que determinam o que pode ou não fazer na AWS. Porém em vez de ser associado exclusivamente a uma pessoa, uma função pode ser usada por softwares para acesso sistemático à AWS.
Outra forma de gerenciar o acesso na AWS é através das políticas do IAM que podem ser anexadas a usuários, grupos, funções ou recursos da AWS. As políticas são armazenadas na AWS como documentos JSON e podem ser baseadas em identidade, recurso, limite de permissão, entre outros.
O que é o IAM Access Analyzer?
O IAM Access Analyzer é um novo recurso lançado no re:Invent 2019 que simplifica a tarefa das equipes e dos administradores de segurança de garantir que as políticas concedam apenas o acesso planejado aos recursos.
Ou seja, o foco é verificar os recursos da conta, como buckets do Amazon S3 ou funções do IAM compartilhados com entidades externas para identificar o acesso não intencional a recursos e dados e causar risco à segurança.
Conformidade com CIS
Os benchmarks do CIS são padrões globais de segurança na internet que tem como objetivo ajudar organizações a melhorar sua postura de segurança. Embora não possuam valor regulatório, funcionam como modelos de conformidade, e em relação a ambientes de computação em nuvem como AWS, prescrevem recomendações em 4 formas: gerenciamento de identidade e acesso, log, monitoramento e rede.
Para saber mais sobre esse modelo de conformidade, clique aqui e acesse nosso post.
Na AWS, a maioria das preocupações relacionadas ao controle de identidade e acesso são gerenciadas pelo serviço do IAM. Portanto, listamos abaixo algumas recomendações de melhores práticas do IAM.
- Evitar o uso da conta root;
- Exigir usuários do IAM com MFA ativado;
- Definir uma política de senha específica;
- Utilizar funções do IAM;
- Conceder o privilégio mínimo;
Conte com a gente
Utilizar os recursos fornecidos pela AWS sem dúvidas favorece a proteção e segurança dos dados. Porém, quando esses recursos são mal configurados, podem gerar grandes impactos para a organização.
Para isso conte com o CleanCloud Score, produto de compliance que oferece mais de 300 verificações de vulnerabilidades para manter a sua nuvem em conformidade com o CIS Benchmarks e outros frameworks como LGDP.
