5 min branjaStoritve v oblaku

Kako upravljanje identitet pomaga pri zagotavljanju varnosti v oblaku AWS

Jacek Falatowicz
Jacek FalatowiczAWS Architect and Product Owner
A person standing on a street with lines drawn on it.

Oblak privlači številna podjetja, saj omogoča hiter in enostaven začetek novih storitev, njihovo povečanje ali zmanjšanje glede na povpraševanje in izklop, ko niso več potrebne. Toda ta enostavnost uporabe pomeni, da se podjetje lahko hitro znajde s stotinami ali tisočimi uporabniških identitet, ki jih mora upravljati in zagotavljati njihovo varnost.

Zato je upravljanje identitet tako pomembno. Če ste migrirali na Amazon Web Services (AWS) ali načrtujete migracijo kmalu, morate razumeti najboljše prakse AWS za upravljanje identitet. In to se začne z razumevanjem modela skupne odgovornosti AWS (AWS Shared Responsibility Model). Po tem modelu je AWS odgovoren za varnost oblaka – za vso strojno, programsko opremo in drugo infrastrukturo, ki jo uporabljate v oblaku – medtem ko ste vi odgovorni za varnost v oblaku.

Kako to doseči? To pomeni, da uporabite upravljanje identitet za zagotavljanje natančnega nadzora dostopa nad tem, kdo lahko – in kdo ne – uporablja vaše oblačne vire, vključno s tem, kdaj dovoliti dostop in koliko dostopa dovoliti. To lahko dosežete z dodeljevanjem uporabnikov: z določitvijo različnih uporabnikov, vlog in skupin ter vzpostavitvijo ustreznih politik dostopa za vse.

Najboljše prakse in orodja za upravljanje identitete in dostopa v AWS

Vsak nov račun AWS se začne z »root user« – to je prva in najmočnejša identiteta, ki je vzpostavljena ob ustvarjanju računa. Čeprav je to ključna in temeljna identiteta, morate svoje poverilnice uporabiti le za nekaj kritičnih nalog, kot so spreminjanje kontaktnih podatkov, ogled nekaterih vrst računov ali zaprtje vašega AWS računa. To je zato, ker vaših poverilnic ni mogoče omejiti: v bistvu so to ključi vašega oblačnega kraljestva. Če izgubite nadzor nad njimi, je vaša celotna prisotnost v oblaku ogrožena. Previdno varujte te poverilnice, da bodo zaupni podatki dostopni samo pravim osebam.

Možnosti za varno upravljanje dostopa

Za vsakodnevne naloge v oblaku boste želeli dodeliti različne uporabnike, vloge in skupine z uporabo AWS Identity and Access Management (IAM).

Ko ustvarite uporabnika IAM, določite politiko, ki določa določena dovoljenja za določeno osebo ali storitev (na primer, uporabniki IAM se lahko uporabljajo v avtomatizacijah). Ta pristop vzpostavi dolgoročne poverilnice za tega uporabnika: razen če kasneje spremenite ta dovoljenja, bo ta oseba ali storitev še naprej imela dostop do virov, ki ste jih določili. Vendar to prinaša negativno stran: če imate stotine ali tisoče uporabnikov IAM, morate spremljati in upravljati dostop do uporabniških računov, ko se njihove potrebe spreminjajo ali pa zapustijo organizacijo.

Rešitev za to? Uporabite skupine IAM. To vam omogoča, da določite dovoljenja za več uporabnikov hkrati. Če se potreba po dostopu pri nekom spremeni ali pa zapusti organizacijo, vam ni treba spreminjati njihovih posameznih dovoljenj – preprosto odstranite to osebo iz skupine.

Drugi pristop je ustvariti vloge IAM, ki imajo določena dovoljenja, vendar so specifične ne za posameznika ali storitev, ampak za naloge in dostop, ki je potreben. Z uporabo tega pristopa je privilegiran dostop za določeno osebo ali storitev omejen kratkoročno – uporabljajo lahko vire le z začasnimi poverilnicami, ki jim omogočajo prevzemanje te vloge.

Nazadnje lahko uporabnike overite in upravljate dostop z uporabo federacije identitete. Tako kot enotno prijavljanje, ta pristop poenostavi upravljanje identitete. Namesto več različnih sistemov IAM za vse poslovne procese imate enoten sistem IAM, ki uporabnikom omogoča dostop do različnih virov, kot so poslovne aplikacije, brez potrebe po vsakokratnem preverjanju in overitvi njihove identitete. Federirana identiteta se opira na zaupanja vrednega ponudnika identitete, ki vzpostavi poverilnice enkrat za vsakega uporabnika in nato tega uporabnika overi za tretje osebe.

Ne glede na to, kateri pristop uporabite za upravljanje identitete, se spomnite, da sledite najboljšim praksam z uporabo večfaktorske avtentifikacije in rednem spreminjanju gesel za večjo varnost.

Sodelovanje s ponudnikom storitev

Do zdaj bi moralo biti jasno, da so močne prakse upravljanja identitet v oblaku ključnega pomena in zahtevajo stalno pozornost. Če se želite osredotočiti na svoje osnovno poslovanje in ta del opravil prepustiti nekomu drugemu, vam lahko pomaga ponudnik storitev upravljanja ali partner.

Zmanjšanje tveganj za varnost v oblaku

Pri SoftwareOne, zagotavljamo to podporo z uporabo dveh različnih modelov: modela računa ponudnika storitev (SPAM) in modela računa končnega uporabnika (ECAM). Pri modelu SPAM hranimo poverilnice za vaš glavni račun, pa tudi za vse povezane račune. Pri pristopu ECAM imamo lastništvo vaših poverilnic za glavni račun, vendar lahko neposredno obvladujete svoje povezane račune in njihove poverilnice.

V vsakem primeru vaša organizacija ohranja lastništvo vseh svojih obremenitev. Nadzorujemo poverilnice glavnega računa, ker smo odgovorni za obračunavanje za vaš AWS račun, kar nam omogoča tudi pridobitev določenih popustov za AWS storitve. S tem zagotavljamo tudi močno varnost. Sledimo načelu štirih oči, kar pomeni, da nobena oseba v SoftwareOne nima dostopa tako do vašega gesla glavnega računa kot do večfaktorske avtentifikacije. In vse spremembe, opravljene v vaših poverilnicah, so evidentirane.

Te strategije vas ščitijo pred pogostimi varnostnimi težavami, kot je zlonameren zaposleni, ki bi poskušal onemogočiti dostop do vašega računa ali pa bi poskušal uporabiti vaše oblačne vire za rudarjenje kriptovalut.

Izboljšanje varnosti v javnem oblaku z AWS upravljanjem identitet

Ker se je prehod v oblak pospešil v zadnjih letih, s podjetji, ki dodajajo vedno več računov pri hiperskalerjih, kot je AWS, so dobre prakse upravljanja identitet bolj pomembne kot kdajkoli prej. Na primer, eda izmed naših strank, s katero smo začeli sodelovati, je imela skoraj 300 AWS računov – to je potencialno zastrašujoče število uporabnikov, vlog in skupin za upravljanje, zagotavljanje varnosti in posodabljanje.

Kot Premier AWS partner z izkušnjami na vseh področjih, od DevOps in varnosti do migracij in FinOps, se zavezujemo k nenehnemu razvoju naših storitev, da zadovoljimo potrebe naših strank. Pravzaprav delamo na razvoju novih storitev, ki bodo avtomatizirale nekatere vidike IAM, da bo še lažje in bolj učinkovito upravljati dovoljenja in identitete v oblaku.

Želite izvedeti več o IAM ali pregledati svoje trenutne prakse pri upravljanju identitet in dostopa v AWS?

Kontaktirajte naše strokovnjake za AWS

Preberite več o prehodu v oblak AWS

Želite izvedeti več? Poiščite vse prihodnje prispevke na blogu, ki bodo podrobneje predstavili, kako zgraditi trdne temelje za posodobitev oblaka. Osredotočili se bomo na več ključnih področij:

A green field with a river running through it.

Kaj morate vedeti o upravljanju identitet, računov in dostopov uporabnikov v AWS?

SoftwareOne strokovnjaki za AWS vam lahko pomagajo zagotoviti, da sledite najboljšim praksam.

Kaj morate vedeti o upravljanju identitet, računov in dostopov uporabnikov v AWS?

SoftwareOne strokovnjaki za AWS vam lahko pomagajo zagotoviti, da sledite najboljšim praksam.

Avtor

Jacek Falatowicz

Jacek Falatowicz
AWS Architect and Product Owner

AWS Architect and Product Owner holding certifications as an AWS cloud practitioner, professional solutions architect, security specialist, professional DevOps engineer and developer