Защитите свою учетную запись AWS - основы, которые должен знать каждый
Злоумышленник, получающий доступ к вашей учетной записи AWS и, в конечном счете, к вашей облачной инфраструктуре, оборачивается катастрофой. Таким образом, крайне важно правильно защитить свою учетную запись. Здесь мы разберемся и рассмотрим способы защиты вашей учетной записи AWS и уменьшения количества точек доступа для злоумышленников.
Не используйте корневую учетную запись
Не рекомендуется использовать учетную запись root, созданную во время регистрации, для повседневных задач. У этой учетной записи слишком много возможностей.
Лучше вместо этого создать новую группу под названием Администратор. Этой группе может быть предоставлена политика Доступ администратора. Эта политика позволяет любому пользователю в группе администраторов делегировать разрешения другим пользователям. Затем вы можете просто создать для себя нового пользователя и назначить себя в эту новую группу администраторов.
Подробная документация о том, как это сделать, доступна здесь.
Создайте одного пользователя AWS для одного физического пользователя
Вы всегда должны создавать одного пользователя AWS для каждого пользователя, который должен иметь доступ к учетной записи AWS. Это связано с тем, что вы должны предоставлять только те разрешения, которые абсолютно необходимы пользователю или группе. Это называется принцип наименьших привилегий. Это также относится к ресурсам. Вы должны предоставлять доступ только к тем ресурсам, которые требуются пользователю или группе.
В случае, если учетные данные какого-либо пользователя скомпрометированы, вы можете легко отозвать разрешения или удалить этого пользователя. Это также снижает масштаб ущерба, вызванного любым нарушением, которое может произойти. Например, если злоумышленник получит доступ к учетным данным пользователя, он сможет получить доступ только к тому, к чему этот пользователь может получить доступ. Напротив, если злоумышленник получит доступ к учетной записи root, он сможет получить доступ ко всему в учетной записи AWS.
Обеспечить соблюдение политики паролей
Когда несколько пользователей используют вашу учетную запись AWS, она создает несколько точек входа для злоумышленников, которые могут взломать вашу систему. Таким образом, важно сделать эти точки входа как можно более безопасными. Однако создание нескольких пользователей по-прежнему более безопасно, чем совместное использование учетных данных пользователя root между всеми людьми, которым необходим доступ к учетной записи AWS.
Первым шагом к защите ваших пользователей AWS является применение политики паролей. Вы можете установить такие параметры, как минимальная длина пароля и надежность пароля. Вы даже можете установить, как часто принудительно сбрасывать пароли и разрешать ли повторное использование паролей.
Подробная документация о том, как это сделать, доступна здесь.
Включить многофакторную аутентификацию (MFA)
2FA и MFA нашли свое применение во множестве приложений и сервисов, и не зря. Настройка MFA для пользователей AWS потребует от них использования комбинации своего пароля и другого физического устройства для входа в свою учетную запись.
Чаще всего использовать MFA с помощью приложения-аутентификатора, такого как Google Authenticator или Authy. Однако вы можете пойти еще дальше и фактически настроить MFA со специализированными аппаратными устройствами или ключами безопасности. Рекомендуется установить хотя бы приложение-аутентификатор для всех пользователей. Вероятно, вам следует подумать об использовании реального аппаратного устройства MFA или ключа безопасности для более чувствительных пользователей, которые имеют доступ к критическим операциям.
Вот список всех устройств и приложений, которые можно использовать для настройки MFA на AWS.
Подробная документация по настройке MFA доступна здесь.
Используйте советник по доступу
Советчик по доступу - это инструмент, который поможет вам выяснить, действительно ли пользователи используют назначенные им политики. Этот инструмент представит вам список всех политик, назначенных пользователю или группе, и дату их последнего использования. Вы можете использовать эту информацию для дальнейшего соблюдения принципа минимальных привилегий и удаления разрешений, которые пользователь не использует. Однако это доступно не для всех регионов. Здесь - список регионов, в которых доступен советник по доступу.
Подробная документация о том, как получить доступ к этой информации, доступна здесь.
Создание отчетов об учетных данных
Инструмент «Отчет об учетных данных» можно использовать для создания отчета обо всех пользователях и состоянии их учетных данных. Этот отчет включает такую информацию, как включили ли пользователи MFA, сколько у них ключей доступа, когда они в последний раз входили в AWS и когда в последний раз меняли свой пароль, и это лишь некоторые из них.
Этот инструмент может дать общее представление обо всех пользователях и о том, как часто они используют сервисы AWS. Это может помочь определить учетные записи и ключи доступа, которые могут больше не использоваться. Удаление этих учетных записей и ключей доступа может уменьшить количество точек входа, которые злоумышленник должен будет получить для доступа к вашей учетной записи AWS.
Подробная документация по созданию отчетов по учетным данным и информация о структуре отчета доступна здесь.
Ресурсы:
Https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html
Больше контента на plainenglish.io
