IAM Access Analyzer: controle e gestão de acesso

O AWS IAM (Identity and Access Management) é o ponto de partida para a jornada de segurança em nuvem AWS, pois permite criar e gerenciar usuários, grupos e controlar permissões de acesso a diversos recursos e serviços AWS. 

No entanto, a abordagem granular do gerenciamento de acesso não deixa de ter alguns desafios, principalmente em ambientes com arquitetura complexa. Muitas vezes, um pequeno erro na concessão de privilégios pode levar a sérias falhas de segurança.

Nesse cenário, o IAM Access Analyzer ajuda a simplificar a tarefa das equipes e dos administradores de segurança de garantir que as políticas concedam apenas as permissões necessárias aos recursos AWS. 

O IAM Access Analyzer monitora continuamente políticas baseadas em recursos como: 

  • Funções do AWS IAM;
  • Buckets do Amazon S3; 
  • Chaves do AWS KMS;
  • Filas do Amazon SQS;
  • Funções do AWS Lambda;

Com o IAM Access Analyzer, é possível abordar políticas de recursos que violam as melhores práticas de segurança e governança no compartilhamento de recursos e proteger os recursos contra acesso não intencional. 

O processo de análise do IAM Access Analyzer ocorre em três etapas: 

 

Ativar o Access Analyzer 

A primeira etapa é ativar o IAM Access Analyzer para uma determinada organização ou conta, essa será conhecida como zona de confiança do analyzer. 

Após ativado, todas as políticas aplicadas aos recursos suportados dentro da zona de confiança selecionada serão analisadas periodicamente.  

Vale mencionar que não há custos extras para a utilização do recurso em uma zona de confiança. 

 

Analisar as descobertas

Quando o IAM Access Analyzer identifica uma política que permite o acesso a recursos fora da zona de confiança selecionada, é gerado uma descoberta ou finding. 

A segunda etapa é analisar cada uma das descobertas para determinar se o acesso é pretendido ou não. 

As descobertas geradas pelo IAM Access Analyzer possuem informações detalhadas sobre o recurso, a entidade externa que possui o acesso e as respectivas permissões para facilitar o gerenciamento e análise.

Essas descobertas podem ser fornecidas por meio do console de gerenciamento do IAM, do Amazon S3, do Security Hub e também por APIs.

 

Realizar ações corretivas 

Por fim, a terceira etapa é tomar as devidas ações para o controle do acesso. 

Se o acesso identificado for intencional e necessário para os aplicativos e processos, é possível arquivar a descoberta para removê-la da lista de descobertas ativas. Se o acesso for não intencional, isso representa um potencial risco à segurança e, portanto, ações corretivas devem ser tomadas. 

Após realizar uma alteração em uma descoberta como modificar uma política aplicada a uma função do IAM, o recurso é verificado novamente pelo IAM Access Analyzer. Se o recurso não estiver mais fora da zona de confiança, o status da descoberta é alterada para resolvido. 

Como boa prática de segurança é importante observar como as permissões são utilizadas ao longo do tempo, para permitir somente o acesso necessário, de acordo com o princípio do privilégio mínimo. 

 

Conte com o CleanCloud Score

Proteger as informações contra roubos, vazamentos ou qualquer atividade que comprometa a integridade dos dados é uma das principais preocupações de muitas empresas, principalmente com a chegada da Lei Geral de Proteção de Dados (LGPD). 

Por isso, conte com o CleanCloud Score que analisa mais de 100 vulnerabilidades, inclusive o uso do IAM Access Analyzer, para manter a nuvem AWS segura e em conformidade com as principais regulações do mercado.