安全讲堂|亚马逊云科技身份认证的安全原则,学到就是赚到!
安全性一直是AmazonWebServices(亚马逊云技术)的核心主题之一,无论是在云中使用框架CAF,还是在Well-architectedFramework中使用。类似地,安全性也一直是亚马逊aws峰会re:Invent的热点内容,在众多讨论中,亚马逊云技术认证安全性是企业IT部署和运营维护面临的首要问题。
在这种事件中,每个操作者都不是故意的,每个攻击者都不需要很强的技术。所以安全技术虽然很重要,但安全规范和安全意识比安全技术更重要。
以下是两种常见的不规范操作。请注意避雷。
01:将秘密钥匙上传到公共网络,被黑客截取后,对账户进行危险操作。
02:存储桶设置公共网络读写权限,导致重要信息泄露。
身份设置是使用亚马逊云技术的基础。在开始使用亚马逊云技术之前,必须设置身份认证。本文将总结如何从身份安全的角度设计应用架构。亚马逊云技术中的身份认证服务是AmazonIdentityandAccessManagement(AmazonIAM),亚马逊云技术的所有服务都将使用AmazonIAM来决定如何访问其他服务。因此,有必要,发现和修复资源、账户和整个组织的权限。通过这些安全检查,可以优化组织的亚马逊云技术身份,具有更好的安全性。
在今年的亚马逊re:互联网上,有两个关于亚马逊云技术认证的主题演讲:
十项身份健康检查提高云的安全性:获得实用的建议和指南,帮助您在现有亚马逊云技术环境中实现最小特权原则。
选择正确的AmazonIAM战略组合进行扩展:本次会议将概述不同的IAM战略和战术水平。
围绕亚马逊云科技认证的安全实践,主要原则如下:
最小权限原则。
不要在Policy的Action和Resource元素中使用通配符,也不要使用广泛的授权。
使用多个亚马逊云技术账户。
根据环境类型(开发、测试、生产)等分类,创建不同的亚马逊云技术账户,可以清晰分割账单,从根本上设定用户操作的安全边界。
创建有意义的OrganizationalUnit结构。
当组织创建越来越多的亚马逊云技术账户时,需要使用Amazonorganization来管理账户,并通过OU对账户进行分组。使用OU分组账户时,应确保OU能够反映实际业务、环境甚至组织结构。此外,AmazonControlTower和AmazonLandingZone可以帮助用户使用最佳实践创建亚马逊云技术账户结构,实现初始安全基线。
运用服务控制策略(ServiceControlPolicy,SCP)
认真构建OU级别后,可以为整个组织、OU或单独成员账户设置SCP,控制账户级别的权限。
使用联合身份认证。
如果组织已经有企业目录,建议使用亚马逊云科技账号进行联合身份认证。这样可以避免在云上单独维护身份清单,避免创建长期身份,即IAMUser。
使用Role。
为了使用联合身份认证,需要创建Role,以确保联合权限仅在Role过期时有效。此外,Role还应该用来授权运行在亚马逊云技术环境中的应用程序,这样就不需要创建和分发长期秘密钥匙。与此同时,Role还应该用来授权跨账户访问,避免在第三方应用程序中创建组织账户中的长期权限。
明确信任策略的定义(TrustPolicy)
信任策略定义了谁可以使用某个Role。Principal可以是用户、另一个Role、账号或者IdentityProvider。使用Role授权时,注意明确定义使用Role的Principal,避免使用星号,如sts:assumerole:*。
尽量避免使用长期密钥。
为确保密钥的安全,必须创建AccessKey时,应遵循以下五点:
1)授权AccessKey设置IP白名单,确保只能从授权服务器使用;
二、请勿将密钥硬编码到代码中;
三、定时RotateAccessKey;
四、不能以明文发送AccessKey,应对文件进行加密,然后将文件与解密密码分两封邮件发送;
5)请勿将AccessKey上传到GitHub等网络环境。
确保root用户的安全。
除某些特殊操作外,决不能使用root用户,特别是不能使用root进行日常操作。与此同时,在实践中应遵循:
一、删除AccessKeys;
二是使用SCP限制root权限;
三、启用Multi-factorAuthentication(MFA);
4)设置强密码,定期修改密码;
5)将root用户邮箱设置为组邮箱,方便root恢复。
确保IAMUser的安全性。
如果组织暂时能使用联合身份认证,则需在Amazon上创建User,应遵循:
1)创建IAMGroup,根据不同的用户角色对用户进行分组;
2)设置强密码策略,定期修改密码;
3)为每个人创建一个独立的用户,不能多人共享User;
四是用户登录使用MFA;
5)使用AmazonConfig审查未设置MFA的用户;
6)避免为个人用户创建密钥,使用CloudShell。
定期检查Policy设置。
使用IAMPolicySimulatoricySimulator模拟Policy的权限,保证最小权限。之后,使用IAMAccessAdvisor继续检查一定时间内未访问的服务,在SCP中禁用这些服务。
定期检查未使用的身份。
通过CredentialReport检查一定时间内未使用的Identity(Role、AccessKey、User),禁用或删除。
设置审计。
打开整个组织的CloudTrail,并将CloudTrail日志存储在单独的帐户中,以避免用户删除操作记录。与此同时,悉使用Athena等服务查询CloudTrail日志的方法。
以上建议从账户管理到用户管理,从最小权限原则到运营审计,都需要认真落实。让组织中的每个人都规范操作,树立安全意识,防止安全事故的发生。聚云科技深知安全的重要性,从一开始就会对客户进行安全培训,定期与客户沟通检查配置,确保客户账户环境的安全。