11 de Julio - Protección de recursos de AWS

 Delegación, federación y Multi-Factor Authentication

Delegación:  Puede usar funciones de IAM para delegar el acceso a los recursos de AWS. Con las funciones de IAM, puede establecer relaciones de confianza entre su cuenta de confianza y otras cuentas de confianza de AWS. La cuenta de confianza posee el recurso al que se accederá y la cuenta de confianza contiene los usuarios que necesitan acceso al recurso.

Federación: Si tu organización ya tiene su propio sistema de identidad, como un usuario directorio de usuario corporativo, puede utilizar los proveedores de identidad IAM en vez de usuarios IAM en su cuenta de AWS. Con un proveedor de identidad (IdP), puede administrar sus identidades de usuario fuera de AWS y brindar a estas identidades de usuario externas permisos para usar los recursos de AWS en su cuenta.

Multi-Factor Authentication: Esta es una simple práctica recomendada que agrega una capa adicional de protección en la parte superior del nombre de usuario y la contraseña. Si activa MFA, cuando un usuario inicia sesión en un sitio web de AWS, se solicitará que indique el nombre de usuario y la contraseña (el primer factor que conocen), así como un código de autenticación del dispositivo AWS MFA.

Existen practicas recomendadas para ayudar a proteger sus recursos de AWS, entre ellas son:

Proteger las claves de acceso de usuario raíz de su cuenta de AWS

Puede utilizar una clave de acceso (un ID de clave de acceso y una clave de acceso secreta) para realizar solicitudes mediante programación a AWS. Sin embargo, no utilizar su clave de acceso de usuario raíz de Cuenta de AWS. La clave de acceso para su usuario raíz Cuenta de AWS concede permiso para obtener acceso completo a todos los recursos para todos los servicios de AWS, incluida la información de facturación. No puede reducir los permisos asociados a la clave de acceso de su usuario raíz de Cuenta de AWS.

Utilizar políticas definidas por AWS para asignar permisos en la medida de lo posible

Para políticas personalizadas, le recomendamos que utilice políticas administradas en lugar de políticas insertadas. Una ventaja principal del uso de estas políticas es que puede ver todas sus políticas administradas en un único lugar en la consola. También puede ver esta información con una sola operación de la AWS CLI o la API de AWS.

Utilizar grupos para asignar permisos a usuarios de IAM

Puede asumir un rol de IAM mediante operaciones de AWS Security Token Service o puede cambiar a un rol en la AWS Management Console para recibir una sesión de rol de credenciales temporales. 

Conceder privilegios mínimos

Al crear políticas de IAM, siga los consejos de seguridad estándar de concesión de privilegios mínimos o garantizando solo los permisos necesarios para realizar una tarea. Determine las tareas que tienen que realizar los usuarios (y las funciones) y elabore políticas que les permitan realizar solo esas tareas.

Utilizar niveles de acceso para revisar permisos de IAM

Para mejorar la seguridad de su cuenta de AWS, debe revisar y monitorear periódicamente cada una de sus políticas de IAM. Asegúrese de que sus políticas concedan el privilegio mínimo que es necesario para realizar únicamente las acciones necesarias.

Configurar una política de contraseña segura para los usuarios

Si permite a los usuarios cambiar sus propias contraseñas, cree una política de contraseñas personalizada que les exija crear contraseñas seguras y cambiarlas periódicamente. 

Habilitar MFA para usuarios con privilegios

Se recomienda exigir la autenticación multifactor (MFA) para todos los usuarios de su cuenta. Con MFA, los usuarios tienen un dispositivo que genera una respuesta a un reto de autenticación.

Utilizar roles de aplicaciones que se ejecuten en instancias Amazon EC2

Las aplicaciones que se ejecutan en una instancia de Amazon EC2 necesitan credenciales para obtener acceso a otros servicios de AWS. Para proporcionar credenciales a la aplicación de una forma segura, utilice los roles de IAM. Un rol es una entidad que tiene su propio conjunto de permisos, pero que no es un usuario ni un grupo de usuarios. 

Cambiar las credenciales de forma periódica

Cambie sus propias contraseñas y claves de acceso de forma periódica y asegúrese de que todos los usuarios de IAM de su cuenta también lo hagan. De esta forma, si una contraseña o clave de acceso está expuesta a riesgos sin su conocimiento, puede limitar el tiempo en el que se pueden utilizar las credenciales para obtener acceso a sus recursos.

Eliminar credenciales innecesarias

Elimine credenciales de usuario de IAM (contraseñas y claves de acceso) que no sean necesarias. Por ejemplo, si ha creado un usuario de IAM para una aplicación que no utiliza la consola, el usuario de IAM no necesita una contraseña. Del mismo modo, si un usuario solo utiliza la consola, elimine sus claves de acceso. 

Utilizar condiciones de política para mayor seguridad

Defina las condiciones en las que sus políticas de IAM permitan el acceso a un recurso. Por ejemplo, puede escribir condiciones para especificar un rango de direcciones IP permitidas desde el que debe proceder una solicitud. También puede especificar que una solicitud solo se permita dentro de un intervalo de fechas o de tiempo especificados.

Monitorizar la actividad en su cuenta de AWS

Puede utilizar características de registro de AWS para determinar las acciones que los usuarios han realizado en su cuenta y los recursos que se han utilizado. Los archivos de registro muestran la hora y la fecha de las acciones, la IP de origen de una acción, las acciones que no se pudieron hacer debido a permisos inadecuados, etc.

Comentarios

Publicar un comentario

Entradas populares de este blog

29 de Julio - Red continuación

Aprovisionamiento El aprovisionamiento es la configuración en toda la compañía, la implementación y la gestión de múltiples tipos de recursos de sistemas de TI. El departamento de RR. HH. o TI de una organización supervisa el proceso de aprovisionamiento, que se aplica para monitorizar los derechos y la privacidad de los usuarios y los clientes, al tiempo que garantiza la seguridad del recurso empresarial. Preparación del servidor La preparación del servidor es el proceso por el cual se instala un servidor para su uso en una red según los recursos que se necesiten. Puede comprender todas las operaciones necesarias para diseñar una máquina nueva y ponerla en funcionamiento, e incluye definir el estado deseado del sistema. La preparación del servidor incluye la instalación del hardware físico en un centro de datos, la instalación y la configuración del software, incluido el sistema operativo y las aplicaciones, y su conexión al middleware, las redes y el almacenamiento.  Pre...
Leer más