Oblak privlači številna podjetja, saj omogoča hiter in enostaven začetek novih storitev, njihovo povečanje ali zmanjšanje glede na povpraševanje in izklop, ko niso več potrebne. Toda ta enostavnost uporabe pomeni, da se podjetje lahko hitro znajde s stotinami ali tisočimi uporabniških identitet, ki jih mora upravljati in zagotavljati njihovo varnost.
Zato je upravljanje identitet tako pomembno. Če ste migrirali na Amazon Web Services (AWS) ali načrtujete migracijo kmalu, morate razumeti najboljše prakse AWS za upravljanje identitet. In to se začne z razumevanjem modela skupne odgovornosti AWS (AWS Shared Responsibility Model). Po tem modelu je AWS odgovoren za varnost oblaka – za vso strojno, programsko opremo in drugo infrastrukturo, ki jo uporabljate v oblaku – medtem ko ste vi odgovorni za varnost v oblaku.
Kako to doseči? To pomeni, da uporabite upravljanje identitet za zagotavljanje natančnega nadzora dostopa nad tem, kdo lahko – in kdo ne – uporablja vaše oblačne vire, vključno s tem, kdaj dovoliti dostop in koliko dostopa dovoliti. To lahko dosežete z dodeljevanjem uporabnikov: z določitvijo različnih uporabnikov, vlog in skupin ter vzpostavitvijo ustreznih politik dostopa za vse.
Vsak nov račun AWS se začne z »root user« – to je prva in najmočnejša identiteta, ki je vzpostavljena ob ustvarjanju računa. Čeprav je to ključna in temeljna identiteta, morate svoje poverilnice uporabiti le za nekaj kritičnih nalog, kot so spreminjanje kontaktnih podatkov, ogled nekaterih vrst računov ali zaprtje vašega AWS računa. To je zato, ker vaših poverilnic ni mogoče omejiti: v bistvu so to ključi vašega oblačnega kraljestva. Če izgubite nadzor nad njimi, je vaša celotna prisotnost v oblaku ogrožena. Previdno varujte te poverilnice, da bodo zaupni podatki dostopni samo pravim osebam.
Za vsakodnevne naloge v oblaku boste želeli dodeliti različne uporabnike, vloge in skupine z uporabo AWS Identity and Access Management (IAM).
Ko ustvarite uporabnika IAM, določite politiko, ki določa določena dovoljenja za določeno osebo ali storitev (na primer, uporabniki IAM se lahko uporabljajo v avtomatizacijah). Ta pristop vzpostavi dolgoročne poverilnice za tega uporabnika: razen če kasneje spremenite ta dovoljenja, bo ta oseba ali storitev še naprej imela dostop do virov, ki ste jih določili. Vendar to prinaša negativno stran: če imate stotine ali tisoče uporabnikov IAM, morate spremljati in upravljati dostop do uporabniških računov, ko se njihove potrebe spreminjajo ali pa zapustijo organizacijo.
Rešitev za to? Uporabite skupine IAM. To vam omogoča, da določite dovoljenja za več uporabnikov hkrati. Če se potreba po dostopu pri nekom spremeni ali pa zapusti organizacijo, vam ni treba spreminjati njihovih posameznih dovoljenj – preprosto odstranite to osebo iz skupine.
Drugi pristop je ustvariti vloge IAM, ki imajo določena dovoljenja, vendar so specifične ne za posameznika ali storitev, ampak za naloge in dostop, ki je potreben. Z uporabo tega pristopa je privilegiran dostop za določeno osebo ali storitev omejen kratkoročno – uporabljajo lahko vire le z začasnimi poverilnicami, ki jim omogočajo prevzemanje te vloge.
Nazadnje lahko uporabnike overite in upravljate dostop z uporabo federacije identitete. Tako kot enotno prijavljanje, ta pristop poenostavi upravljanje identitete. Namesto več različnih sistemov IAM za vse poslovne procese imate enoten sistem IAM, ki uporabnikom omogoča dostop do različnih virov, kot so poslovne aplikacije, brez potrebe po vsakokratnem preverjanju in overitvi njihove identitete. Federirana identiteta se opira na zaupanja vrednega ponudnika identitete, ki vzpostavi poverilnice enkrat za vsakega uporabnika in nato tega uporabnika overi za tretje osebe.
Ne glede na to, kateri pristop uporabite za upravljanje identitete, se spomnite, da sledite najboljšim praksam z uporabo večfaktorske avtentifikacije in rednem spreminjanju gesel za večjo varnost.
Do zdaj bi moralo biti jasno, da so močne prakse upravljanja identitet v oblaku ključnega pomena in zahtevajo stalno pozornost. Če se želite osredotočiti na svoje osnovno poslovanje in ta del opravil prepustiti nekomu drugemu, vam lahko pomaga ponudnik storitev upravljanja ali partner.
Pri SoftwareOne, zagotavljamo to podporo z uporabo dveh različnih modelov: modela računa ponudnika storitev (SPAM) in modela računa končnega uporabnika (ECAM). Pri modelu SPAM hranimo poverilnice za vaš glavni račun, pa tudi za vse povezane račune. Pri pristopu ECAM imamo lastništvo vaših poverilnic za glavni račun, vendar lahko neposredno obvladujete svoje povezane račune in njihove poverilnice.
V vsakem primeru vaša organizacija ohranja lastništvo vseh svojih obremenitev. Nadzorujemo poverilnice glavnega računa, ker smo odgovorni za obračunavanje za vaš AWS račun, kar nam omogoča tudi pridobitev določenih popustov za AWS storitve. S tem zagotavljamo tudi močno varnost. Sledimo načelu štirih oči, kar pomeni, da nobena oseba v SoftwareOne nima dostopa tako do vašega gesla glavnega računa kot do večfaktorske avtentifikacije. In vse spremembe, opravljene v vaših poverilnicah, so evidentirane.
Te strategije vas ščitijo pred pogostimi varnostnimi težavami, kot je zlonameren zaposleni, ki bi poskušal onemogočiti dostop do vašega računa ali pa bi poskušal uporabiti vaše oblačne vire za rudarjenje kriptovalut.
Kot Premier AWS partner z izkušnjami na vseh področjih, od DevOps in varnosti do migracij in FinOps, se zavezujemo k nenehnemu razvoju naših storitev, da zadovoljimo potrebe naših strank. Pravzaprav delamo na razvoju novih storitev, ki bodo avtomatizirale nekatere vidike IAM, da bo še lažje in bolj učinkovito upravljati dovoljenja in identitete v oblaku.
Želite izvedeti več o IAM ali pregledati svoje trenutne prakse pri upravljanju identitet in dostopa v AWS?
Želite izvedeti več? Poiščite vse prihodnje prispevke na blogu, ki bodo podrobneje predstavili, kako zgraditi trdne temelje za posodobitev oblaka. Osredotočili se bomo na več ključnih področij:
SoftwareOne strokovnjaki za AWS vam lahko pomagajo zagotoviti, da sledite najboljšim praksam.
SoftwareOne strokovnjaki za AWS vam lahko pomagajo zagotoviti, da sledite najboljšim praksam.
