2 publicações com a etiqueta "Segurança"

A segurança dos dados (e recursos) é uma preocupação crucial tanto a nível individual quanto para empresas, especialmente no ambiente em nuvem. E não seria exagero dizer que uma das áreas mais críticas em relação a proteção é o gerenciamento de acessos e identidades - no caso da AWS, feito pelo IAM - pois é por ele que podemos controlar quem ou que tem acesso aos recursos.

Como é melhor prevenir do que remediar, reuni aqui 5 recomendações de boas práticas de segurança para o AWS IAM:

1) Jamais compartilhe o usuário raiz​

Nem com a sua conta pessoal, muito menos na empresa em que você estiver trabalhando: nunca, JAMAIS compartilhe a conta raiz (root account)!

Imagine o estrago que alguém mal intencionado pode fazer com acesso a todos os recursos da AWS? Ou ao seu cartão de crédito? Agora imagine o mesmo cenário ocorrendo para uma empresa... É verdadeiramente assustador.

Por isso, é ideal que qualquer outra ação que não necessite de privilégios do usuário raiz - e posso dizer que isso vai ocorrer em raras ocasiões - seja executada por outros usuários do IAM. Em outras palavras, crie um usuário do IAM com as permissões de acesso necessárias a ele.

Por exemplo, as políticas de acesso mais indicadas para associar ao usuário que você vai criar são a AdministratorAccess e PowerUserAccess. É claro que existem outras políticas e você mesmo pode criar as suas, mas já é um bom começo. Com isso, você não vai precisar usar a conta raiz para seus estudos ou seu trabalho.

Dessa forma, você estará seguindo o Princípio do menor privilégio (least privilege principle), que se trata de conceder ao usuário somente aquilo que é necessário para ele executar suas tarefas.

2) Habilite o MFA na sua conta​

A autenticação multifator (MFA) é um recurso que solicita ao usuário seguir algumas etapas de autenticação que vão além do simples colocar o usuário e senha e logar.

Para tal, um dispositivo externo gera uma "senha" para liberar esse acesso - pode ser por SMS, e-mail, ou um app de autenticação. Isso adiciona uma camada de segurança extra, mitigando o acesso não autorizado a uma conta.

Na AWS, é muito importante que a sua conta raiz e as outras contas de usuário tenham o MFA habilitado. Você pode usar um virtual MFA device (um app como o Microsoft Authenticator, por exemplo) ou por um U2F (security key externa).

No IAM, há a opção de habilitar o MFA, no painel do usuário:

3) Crie grupos​

Uma prática muito recomendada é criar grupos no IAM de acordo com as necessidades específicas de cada função ou departamento de uma empresa, atribuindo a eles as permissões por meio de políticas anexadas.

Por exemplo, você pode criar os grupos de Desenvolvedores, Suporte, DevOps, etc. Com isso, os usuários inseridos nesses grupos herdam as permissões de acesso do grupo. Ou seja, se o usuário é um desenvolvedor, ele deverá ser adicionado ao grupo Desenvolvedores e terá todas as permissões e restrições do grupo.

Além de ser uma boa prática de segurança, essa medida simplifica o gerenciamento de usuários e acessos, e garante também o princípio do menor privilégio.

4) Padronize e mude as senhas periodicamente​

Nada de senhas fáceis, eternas e que nunca mudam! Por serem a primeira linha de defesa contra acessos não autorizados, nada melhor do que usar uma senha forte e robusta para assegurar esse nível inicial de segurança.

É interessante que você estabeleça uma política de senhas para os usuários do IAM, tais como:

• Tamanho mínimo das senhas
• Uso de letras maiúsculas, minúsculas e números
• Uso de caracteres especiais

Além disso, você pode implementar a expiração periódica das senhas, permitindo que haja uma rotação das mesmas. No IAM, você pode especificar um período dentre 1 a 1.095 dias para que as senhas de usuário do IAM permaneçam válidas após serem definidas.

5) Monitore as atividades do IAM​

Em determinadas ocasiões pode ser interessante rastrear ou identificar alguma atividade do IAM - quem nunca deletou um banco de dados sem querer, não é mesmo? Rsrs...

Na AWS, há um serviço de governança que possibilita realizar a auditoria das chamadas de API, o CloudTrail. Em poucas palavras, ele atua como um "fofoqueiro" que registra e mostra todas as atividades - ou seja, você pode saber quem deletou um Bucket S3, por exemplo.

Com ele, você pode registrar ações dos usuários do IAM. Por padrão, ele captura os eventos de gerenciamento sem custos, armazenando-os por até 90 dias para consultas rápidas.

Uma forma de fazer esse registro é criar uma trilha para capturar Eventos de gerenciamento e armazena-los em um Bucket S3. [Logo colocarei um passo a passo aqui no blog].

Depois de criar a trilha, você pode revisar regularmente os logs no CloudTrail ou ativar o Amazon CloudWatch para definir alarmes baseados em eventos críticos, de modo a garantir que qualquer comportamento suspeito seja imediatamente identificado.

---

Essas foram algumas dicas básicas de segurança para o AWS IAM.

Bons estudos!

Documentação​

• AdministratorAccess - AWS IAM
• PowerUserAccess - AWS IAM
• Definição de preço do AWS CloudTrail
• Criando uma trilha para a sua Conta da AWS

Um dos principais serviços da AWS, o IAM (Identity and Access Management) permite criar e gerenciar usuários e grupos, além de atribuir ou revogar permissões de acesso aos recursos.

Para entendermos melhor a importância do IAM e por que devemos criar um usuário, primeiro precisamos entender que quando criamos a nossa conta na AWS, essa conta é chamada de conta raiz (root account). Essa conta contém todos os nossos dados pessoais, dados de faturamento, cartão de crédito e acesso total ao console AWS - e, por conseguinte, a todos os recursos da conta.

Porém, no dia a dia, não é ideal que essa conta seja usada e nem compartilhada com outras pessoas. Até mesmo para os estudos e laboratórios é recomendável usar outra conta que não seja a conta raiz. Por isso, é essencial criar usuários e grupos de acordo com a necessidade, função e definir os níveis de acesso dos mesmos. Essa prática compõe o que chamamos de princípio do menor privilégio, ou seja, dar acesso somente ao que o usuário necessita usar.

Dito isto, vamos ao passo a passo de como criar um usuário no IAM. (Ah, e se você não tem uma conta na AWS, pode seguir este tutorial aqui para criar sua conta).

IAM → criar usuário → selecionar “Quero criar um usuário do IAM” → configurar as senhas → inserir em um grupo ou criar novo grupo com a política desejada

Passo a passo​

1. Faça login na console AWS e pesquise por IAM

Clique em "Usuários" - pode ser tanto na barra lateral esquerda ou no número de usuários que aparece em Recursos do IAM, conforme imagem:

2. Clique no botão "Criar usuário"

3. Na página seguinte, defina as credenciais

• Especifique o nome do usuário
• Marque a caixa: Fornecer acesso para os usuários ao Console
• Selecione a opção: Quero criar um usuário do IAM

Em seguida, defina uma senha para a conta.

OBS: um ponto importante é deixar marcada a opção para o usuário criar uma nova senha no momento em que for fazer o primeiro login - o que é uma prática de segurança comum. Como estamos criando uma conta para uso próprio, a caixa "Os usuários devem criar uma nova senha" pode ser desmarcada.

Clique em "Próximo"

4. Na página seguinte, você deverá fornecer as permissões da conta

Selecione a opção "Anexar políticas diretamente"

Na AWS, as permissões ou restrições de um usuário, grupo ou função do IAM são definidas por políticas (policies). Essas políticas se tratam de documentos escritos em formato JSON com o detalhamento dos recursos e das permissões e restrições, e que devem ser anexados a um usuário grupo ou função.

A AWS possui uma lista bem grande de políticas próprias, ou seja, que são gerenciadas pela AWS. Porém, você também pode criar as suas políticas também.

No nosso caso, vamos pesquisar pela política de PowerUserAccess e selecioná-la. Depois disso, clique em "Próximo".

OBS²: é comum que as pessoas usem a política de AdministratorsAccess para o usuário. A principal diferença entre ela e a PowerUser, é que o Administrator tem permissão para gerenciar usuários e grupos.

5. Revisar e criar o usuário

Na página seguinte, teremos as informações gerais do usuário, com as políticas de persmissões anexadas a ele. Nesse momento, podemos também definir tags (etiquetas) para ajudar na identificação, organização e controle dos recursos na AWS - mas isso é opcional.

Se tudo estiver certinho, clique em "Criar usuário".

6. Salvar as credenciais

Após criar o usuário, há uma tela com os detalhes de login (usuário e senha) e a URL de acesso a console. Você pode baixar esses dados em um arquivo formato .csv e clicar no botão "Retornar à lista de usuários".

Pronto, seu usuário foi criado com sucesso no IAM! Você pode testar abrir uma aba anônima no seu navegador e fazer login na console AWS.

Documentação​

• Criar um usuário do IAM na sua Conta da AWS
• Políticas e permissões no IAM