2014-09-01
Zasadniczo istnieją dwie zasady, takie do których Admin AWS powinien się odnosić podczas zarządzania prawami IAM: „podział obowiązków” i „najmniej uprawnień”. Myślę, że jest to najtrudniejsza cześć procesu, podobnie jest w każdym centrum danych i wiąże się to z większym ryzykiem.

Co oznacza zarządzanie tożsamością i dostępem?

Według firmy Gartner, oznacza to „Połączenie administracji i zaopatrywania konta, autoryzacji oraz funkcji raportujących”, które działają poprzez chmurę (IDaaS) jako narzędzie.

Firmy mogą wybrać podwójne połączenie w ich hybrydowym środowisku, gdzie jest dostarczony  drugi IAM system do obsługi  udostępnionych aplikacji, który polega na standardowym IAM do zastosowań wewnętrznych.

Mimo, że scenariusz wskazuje, że korzystniejsze jest by platformy mające mieszane IAM nie działały, jest to niewątpliwie trudną sprawą, ponieważ podwaja wysiłki konserwacji, przez co może być podatne na uszkodzenia i być na dłuższą metę kosztowne. Dodanie trzeciego, czwartego i piątego mechanizmu IAM szybko podnosi koszty i złożoność.

Dodając do tego, że istnieje pewien zestaw funkcji i standardów wymagań w chmurze, które niekoniecznie pasują do klasycznych, bardziej systematycznych konfiguracji IAM (jak uznaniowa lub obowiązkowa kontrola dostępu, znane również jako DAC i MAC) i że są zbyt skomplikowane, żeby zostać objęte przez najnowszy model kontroli dostępu oparty na rolach (RBAC).

Trendy takie jak „Bring Your Own Device” (BYOD) oraz role proliferacji w przedsiębiorstwie przynoszą natychmiastową potrzebę wiedzy kontekstowej w polityce bezpieczeństwa i dostępu do wdrażania drobnych zasad dostępu i bezpieczeństwa, jak również rozwijania się bezpiecznych aplikacji.

W związku z tym rośnie zainteresowanie bardziej elastycznymi technikami kontroli (attribute-based access control - ABAC) korzystającymi z atrybutów, które mają zastosowanie we wszystkich wyżej wymienionych modelach IAM. Mogą zostać skonfigurowane tak aby wykorzystać ich zalety, ale także wyjść poza swoje ograniczenia.

Będę dalej wyjaśniać, jak to działa poprzez odejście od etapu uwierzytelniania. Przejdę do następnego poziomu autoryzacji dostępu.

ABAC wykorzystuje atrybuty lub właściwości danej jednostki w systemie, które mogą reprezentować użytkownika programowego kontekstu workflow (Program/ proces działający w imieniu użytkownika), obiekt (dostęp do zasobów) lub nawet sam atrybut.

Te predefiniowane atrybuty są potwierdzeniem warunków otoczenia lub scenariuszy w oparciu o zestaw reguł, które określają relacje między podmiotem a przedmiotem.

ABAC może być użyty do wykonania DAC poprzez tożsamości i listy kontroli dostępu (ACL), MAC poprzez etykiety bezpieczeństwa i klasyfikacje lub RBAC przez role użytkowników.

Jeśli mamy słuchać głosów analityków, może nas zdziwić znalezienie IAM umieszczonego na trzech największych listach "must-have" usług bezpieczeństwa w chmurze. W obszernym raporcie z 2013 roku, prognozy Gartnera w odniesieniu do przyszłości technologii IAM są bardzo obfite.

Do końca 2020 roku, analitycy branży przewidują, że:

70% wszystkich firm będzie korzystać z atrybutów kontroli dostępu opartych jako mechanizm dominujący w celu ochrony zasobów krytycznych, w porównaniu ze stanem obecnym - 5%.

60% wszystkich tożsamości cyfrowych współdziałających z przedsiębiorstwami będzie pochodzić od zewnętrznych dostawców tożsamości poprzez konkurencję na rynku, w porównaniu z 10% obecnie.

80% z cyfrowego dostępu będzie dziś kształtowane przez nowe architektury mobilne i inne architektury nie oparte na komputerach, w porównaniu do 5%, które jest obecnie.

W jednym z ostatnich raportów poświęconym zarządzaniu tożsamością i dostępem w ramach Amazon Web Services, Gartner podkreśla szereg zaleceń, które są śledzone przez klientów AWS, które  można podsumować następująco:

Nie rozpowszechniać konta root AWS w organizacji i starać się utrzymać jego użycie na minimalnym poziomie.

Dźwignia IAM – posiada różne rodzaje ról do delegowania zarządzeniem obowiązkami, Narzędzia third-party są również obsługiwane przez IAM.

Zatrudniamy wieloczynnikowe uwierzytelnianie (MFA) dla uprzywilejowanych użytkowników IAM, którzy mają dostęp do konsoli zarzadzania AWS.

Unikaj nadmiernej ilości przypisywania praw do IAM użytkowników; zgodne z zasadą "najmniej uprawnień".

Użyj AWS CloudTrail  do monitorowanie operacji IAM w AWS.

Większość z tych narzędzi bezpieczeństwa należących do AWS jest całkowicie darmowych, żeby zachęcić administratorów chmur, do dania szansy nowemu AWS. Wkrótce wypróbowane i sprawdzone praktyki bezpieczeństwa staną się siłą napędzającą dla AWS.  Mogą stać się one powodem rezygnacji z AWS konsumentów, zamiast chęcią uczestnictwa.

Zasadniczo istnieją dwie zasady, takie do których Admin AWS powinien się odnosić podczas zarządzania prawami IAM: „podział obowiązków” i „najmniej uprawnień”. Myślę, że jest to najtrudniejsza cześć procesu, podobnie jest w każdym centrum danych i wiąże się to z większym ryzykiem.

Na szczęście AWS  obsługuje część heavy-lifting poprzez pojedyncze znaki od wsparcia, w wypadku gdy użytkownik/tożsamość jest przywiązany do unikalnych poświadczeń bezpieczeństwa, które mają dostęp tylko do tych usług AWS i zasobów przyznanych przez administratora.

Rozdawanie poświadczeń odbywa się automatycznie w końcowym stadium procesu, a tymczasowe poświadczenia są regularnie zmieniane. Nie ma tutaj miejsca dla błędu ludzkiego i zapobiega przed nieautoryzowanym dostępem z  poza organizacji.

W świetle prognoz firmy Gartner, może jesteśmy świadkami odrodzenia zainteresowania wśród przedsiębiorstw do rozwiązań IAM state-of-the-art, niż tymi dostosowanymi do chmury.  Pozwoli to na duże inwestycje w branży i pomoże zdywersyfikować ofertę oraz udoskonalić znane dzisiaj techniki.

Nie oczekuje się srebrnych kul. Żaden szwajcarski nóż nie pomoże ci przetrwać w lesie, jeżeli nie wiesz jak obsługiwać go umiejętnie.

Najważniejsze jest to, że lepiej wyposażone są narzędzia IAM do zarządzania chmurą, dzięki temu, zarządzanie niezliczoną ilości tożsamości korporacyjnych i aktyw rozsianych w różnych departamentach i geo-lokalizacjach nie będą doprowadzać do takiego bólu głowy.

Nadesłał: Marken