Mejores prácticas de IAM

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

Mauricio Muñoz

Enterprise Solutions Architect

Mayo de 2016

AWS IAM – Mejores prácticas

¿Qué veremos hoy?

• Definiciones

• Mejores prácticas

• Dilemas

• Demostraciones

• Extensión de funcionalidades de

seguridad: Trend Micro

Definiciones

¿Por qué AWS Identity and Access Management (IAM)?

Para que usted pueda controlar quién puede hacer qué en su cuenta AWS.



Primitivas:

- Usuarios, Grupos, Recursos, Acciones

- Políticas, Roles



Primitivas:


- Políticas, Roles

Control:

- Centralizado

- Granular (APIs), Recursos, Acceso a AWS Management Console



Primitivas:


- Políticas, Roles

Control:

- Centralizado

- Granular (APIs), Recursos, Acceso a AWS Management Console

Seguridad:

- Negación por defecto

- Múltiples usuarios: Credenciales y permisos individuales

Mejores Prácticas

Mejores Prácticas• Gestión de usuarios y permisos

• Gestión de credenciales

• Delegación

Gestión de usuarios y permisos

0. Crear usuarios individuales. Ventajas

• Credenciales únicas

• Fácil rotación

• Permisos individuales• Visibility into your user activity by recording AWS API calls to

an Amazon S3 bucket


0. Crear usuarios individuales.

1. Menor privilegio (LP and NtK).

Ventajas

- Menor probabilidad de error

humano

- Abordaje restrictivo ->

permisivo

- Control más granular

• Visibility into your user activity by

recording AWS calls to an Amazon




2. Usar grupos para administrar privilegios.

Ventajas

- Asignar los mismos permisos

a varios usuarios

- Fácil reasignación de

permisos

- Centralización de cambios

para múltiples usuarios





3. Usar ”Condiciones” para restricciones

adicionales.

Ventajas

- Granularidad adicional

- Disponible para cualquier

API AWS

- Reduce la posibilidad de

ejecutar accidentalmente

acciones privilegiadas





3. Usar ”Condiciones” para restricciones

adicionales.

4. Habilitar AWS CloudTrail.

Ventajas

- Visibilidad de las actividades

- Auditoria

Gestión de Credenciales

5. Definir una política fuerte de contraseñas. Ventajas

- Dificulta la explotación de

cuentas


5. Definir una política fuerte de contraseñas.

6. Rotar regularmente las credenciales

Ventajas

- Dificulta la explotación de

cuentas

- Contiene el impacto de

credenciales explotadas


5. Definir una política fuerte de contraseñas.

6. Rotar regularmente las credenciales

7. Configurar MFA.

Ventajas

- Autenticación fuerte

- Protección adicional para

acciones privilegiadas

Delegación

8. Usar roles IAM para acceso compartido.Ventajas

- No compartir credenciales

- No almacenar credenciales

de largo plazo

- Varios casos de uso:

- Acceso cross-account

- Delegación intra-account

- Federación

Delegación

8. Usar roles IAM para acceso compartido.

9. Usar roles IAM para instancias EC2.

Ventajas

- Fácil manejo de credenciales

en instancias

- Rotación automática

- “Least privilege” a nivel de

aplicación

- Integrado con SDKs y CLI

Delegación

8. Usar roles IAM para acceso compartido.

9. Usar roles IAM para instancias EC2.

10. Elimine (o reduzca) el uso de root.

Ventajas

- Reduce la probabilidad de

mala utilización de la cuenta

- Reduce la probabilidad de

explotación

Top 11 IAM best practices

0. Usuarios – Cree usuarios individuales.

1. Permisos – “Least Privilege”.

2. Grupos – Administre permisos con grupos.

3. Condiciones – Restrinja acceso privilegiado con condiciones.

4. Auditoria – Habilite AWS CloudTrail para registrar las llamadas.

5. Contraseñas – Configure una política fuerte.

6. Rotación – Rote regularmente las credenciales de seguridad.

7. MFA – Habilite MFA para usuarios privilegiados.

8. Accesso compartido– Use roles IAM para compartir accesos.

9. Roles – Use roles IAM para instancias Amazon EC2.

10. Root – Elimine (o reduzca) el uso de root.

Dilemas

(O, ¿Cuándo debo usar <xyz>?

Usuario IAM Usuario Federado

¿ Usuario IAM ó Usuario Federado ?


• Depende del lugar donde está el repositorio de autenticación

– On-premises → Usuarios federados (roles IAM)

– Cuenta AWS → Usuarios IAM





• Otros casos de uso:

– Delegar acceso a su cuenta → Usuarios federados (roles IAM)

– Acceso de aplicación móvil → SIEMPRE usuarios federados





• Otros casos de uso:

– Delegar acceso a su cuenta → Usuarios federados (roles IAM)

– Acceso de aplicación móvil → SIEMPRE usuarios federados

IMPORTANTE: Nunca comparta credenciales.

[email protected] ID: [email protected]

Acct ID: 111111111111

¿ Cómo funciona el acceso federado ?

Usuario IAM user:

mauricio

STS

[email protected] ID: 999999999999

role-ddb


¿ Cómo funciona el acceso federado ?

Usuario IAM user:

mauricio

STS


role-ddb


{ "Statement": [{"Effect":"Allow","Principal":{"AWS":"111111111111"},"Action":"sts:AssumeRole"

}]}

¿ Cómo funciona el acceso federado ?role-ddb confía en los usuarios IAM de la cuenta

[email protected] (111111111111)

Usuario IAM user:

mauricio

STS


role-ddb

{ "Statement": [{ "Action":

["dynamodb:GetItem","dynamodb:BatchGetItem","dynamodb:DescribeTable",

"dynamodb:ListTables"],"Effect": "Allow","Resource": "*“

}]}



}]}



Usuario IAM user:

mauricio

Permisos definidos para role-ddb

STS


role-ddb




}]}


{ "Statement": [{"Effect": "Allow","Action": "sts:AssumeRole","Resource":

"arn:aws:iam::999999999999:role/ddb-role"}]}


}]}



Permisos asignados a

mauricio, permitiéndole

asumir el role-ddb en la

cuenta 999999999999

Usuario IAM user:

mauricio


STS


role-ddb




}]}

[email protected] ID: 111111111111 Autentica con las

credenciales de

mauricio




}]}



Usuario IAM user:

mauricio


STS




cuenta 999999999999


role-ddb




}]}


credenciales de

mauricio

Obtiene

credenciales

temporales para role-ddb




}]}



Usuario IAM user:

mauricio


STS




cuenta 999999999999


role-ddb




}]}


credenciales de

mauricio

Obtiene

credenciales

temporales para role-ddb

Llama la API AWS,

usando las

credenciales

temporales de role-

ddb




}]}



Usuario IAM user:

mauricio


STS




cuenta 999999999999

¿ Access Keys ó Contraseñas?

AWS Access Keys Contraseñas


• Depende de cómo los usuarios accederán a AWS

– AWS Management Console → Contraseña

– API, CLI, SDK → Access keys


• Depende de cómo los usuarios accederán a AWS

– AWS Management Console → Contraseña

– API, CLI, SDK → Access keys

• En cualquier caso, verifique la rotación periódica de credenciales

– Use el reporte “Credential Report” para auditar la rotación.

– Configure política de contraseñas.

– Configure la política de usuario para permitir la rotación.

Política de ejemplo para permitir la rotación de llaves

(Usuario IAM)

Política IAM

{"Version":"2012-10-17","Statement":[

]}


(Usuario IAM)

Política IAM

{"Version":"2012-10-17","Statement": [{"Effect": " ","Action": [

],"Resource":

}]}


(Usuario IAM)

Política IAM

{"Version":"2012-10-17","Statement": [{"Effect": "Allow","Action": [

],"Resource":

}]}


(Usuario IAM)

Política IAM


"iam:CreateAccessKey","iam:DeleteAccessKey","iam:ListAccessKeys","iam:UpdateAccessKey"],

"Resource":

}]}


(Usuario IAM)

Política IAM


"iam:CreateAccessKey","iam:DeleteAccessKey","iam:ListAccessKeys","iam:UpdateAccessKey"],

"Resource": "arn:aws:iam::123456789012:

user/${aws:username}"}]}

Políticas: ¿ Inline o Managed ?

Políticas Inline Managed Policies


Depende de qué tan “personal” quiera hacerse la política.

• Use Políticas Inline cuando necesite:

• Una relación estricta uno-a-uno entre la política y el principal.

• Evitar que la política sea asignada de forma errónea.

• Eliminar la política cuando se borra el principal.


Depende de qué tan “personal” quiera hacerse la política.

• Use Políticas Inline cuando necesite:

• Una relación estricta uno-a-uno entre la política y el principal

• Evitar que la política sea asignada de forma errónea

• Eliminar la política cuando se borra el principal

• Use Políticas Managed cuando necesite:

• Reutilización.

• Gestión de cambios centralizada.

• Versionamiento y Rollback.

• Delegación de gestión de permisos.

• Actualizaciones automáticas para políticas AWS.

• Tamaños mayores de políticas.

¿ Grupos o Managed Policies?

GRUPOS Managed Policies

• Ofrecen beneficios parecidos

– Asignar los mismos permisos a varios usuarios.

– Gerenciamiento centralizado de permisos.

– Actualizaciones cubren múltiples usuarios.






• Use grupos cuando necesite:

– Gerenciar usuarios ….


agrupados.





• Use grupos cuando necesite:

– Gerenciar usuarios …. agrupados.

• Use Managed Policies cuando necesite:

– Asignar la misma política a usuarios, grupos o roles.


Recomendación: Combine grupos Y Managed Policies

• Use grupos para organizar sus usuarios

• Asigne los permisos a los grupos usando Managed Policies

Recomendación: Combine grupos Y Managed Policies

• Use grupos para organizar sus usuarios

• Asigne los permisos a los grupos usando Managed Policies

• Sugerencia: Cree Managed Policies separadas, con permisos específicos

para una situación, servicio o proyecto y asigne varias políticas a cada

grupo.

Demo

Basado en recursos Basado en Tags

Políticas: ¿ Basadas en Recursos o en Tags?

• Use políticas basadas en recursos cuando necesite:

• Controlar acceso a un recurso específico.

• Controlar acceso a la mayoría de recursos AWS.





• Use políticas basadas en Tags cuando necesite:

• Tratar recursos como una unidad (p.ej: un proyecto).

• Aplicar permisos automáticamente al crear los recursos.





• Use políticas basadas en Tags cuando necesite:

• Tratar recursos como una unidad (p.ej: un proyecto).

• Aplicar permisos automáticamente al crear los recursos.

Nota:

Estos servicios actualmente soportan políticas de control basadas en Tags:

AWS CloudFormation, AWS Elastic Beanstalk, Amazon EC2 (Incluidos EBS),

Amazon EMR, Amazon ElastiCache, Amazon Glacier, Amazon Kinesis, Amazon

VPC, Amazon RDS, Amazon Redshift, Amazon Route 53 y Amazon S3http://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/supported-resources.html


¿ Cómo funciona el control de acceso basado en Tags?

{"Version": "2012-10-17","Statement": [{

"Effect": "Allow","Action": "ec2:*","Resource": "*","Condition": {

"StringEquals": {"ec2:ResourceTag/Project" : ”Barcelona"

}}

}]

}

Privilegios asignados a Messi, dándole permiso de

ejecutar cualquier acción EC2 en recursos

marcados con el Tag:

Proyecto=Barcelona

IAM user:

Messi





}}

}]

}




Proyecto=Barcelona

IAM user:

Messi

i-a1234r12

Proyecto=Barcelona





}}

}]

}




Proyecto=Barcelona

IAM user:

Messi

i-a1234r12

Proyecto=Barcelona





}}

}]

}




Proyecto=Barcelona

IAM user:

Messi

i-a1234r12

i-a4321r12

Proyecto=Barcelona

Proyecto=Barcelona





}}

}]

}




Proyecto=Barcelona

IAM user:

Messi

i-a1234r12

i-a4321r12

Proyecto=Barcelona





}}

}]

}




Proyecto=Barcelona

IAM user:

Messi

i-a1234r12

i-a4321r12

Proyecto=Barcelona





}}

}]

}




Proyecto=Barcelona

IAM user:

Messi

i-a1234r12

i-a4321r12

Proyecto=Barcelona

i-a4321b12

Proyecto=Real





}}

}]

}




Proyecto=Barcelona

IAM user:

Messi

i-a1234r12

i-a4321r12

Proyecto=Barcelona

i-a4321b12

Proyecto=Real

Demo

Única cuenta Varias cuentas

¿ Una única cuenta AWS o varias?


Use una única cuenta AWS cuando:

• Quiera simplificar el control de quién hace qué en su ambiente AWS.

• No haya necesidad de aislar proyectos/productos/equipos.

• No tenga necesidad de separar costos.


Use una única cuenta AWS cuando:

• Quiera simplificar el control de quién hace qué en su ambiente AWS.

• No haya necesidad de aislar proyectos/productos/equipos.

• No tenga necesidad de separar costos.

Use múltiples cuentas AWS cuando:

• Necesite aislar completamente proyectos/equipos/ambientes.

• Requiera aislar información de auditoria o de recuperación (p. ej:

enviar logs de auditoria (CloudTrail) a una cuenta diferente).

• Requiera una cuenta única, pero con costos y utilización discriminada.

Acceso Cross-Account usando roles IAM




IAM user: Armando





IAM user: Armando





IAM user: Armando





IAM user: Armando





IAM user: Armando





IAM user: Armando





IAM user: Armando


External identity

provider





IAM user: Armando

IAM user: Betty


External identity

provider





IAM user: Armando

IAM user: Betty

Demo

Extendiendo las

funcionalidades de Seguridad

en AWS: Trend Micro

¿Qué buscan los cibercriminales en tú nube?

Juan Pablo Castro – Director de Innovación Tecnológica

Copyright 2016 Trend Micro Inc.84

Retos de seguridad en la nube

Agilidad

Regulaciones, normatividady cumplimiento

Modelo de Negocio

Visibilidad

Aplicar actualizaciones y parches de seguridad

Alertamiento de cambios

no autorizadosen los servidores

Inventario de aplicaiones

y sistemas vulnerables

Firewall

IPS

Anti-Malware

Protegervulnerabilidades

conocidas y desconocidas

Protección deaplicaciones Web

(SQLi & XSS)

Alertamiento deaccesos y eventos

sospechosos

OPS

INF

SEG

SEG






Firewall

IPS

Anti-Malware




(SQLi & XSS)


sospechosos

OPS

INF

SEG

SEG

?

?

?

?

?

?

?

?

?






Firewall

IPS

Anti-Malware




(SQLi & XSS)


sospechosos

?

?

?

?

?

?

?

?

?

Fuente: CVE Details cvedetail.com

& NVDB

252 246

894

1020

1667

2156

1526

2450

4934

6610

6520

5632

5736

4651

4155

5297

5191

7946

6412

2211

0

10000

20000

30000

40000

50000

60000

70000

80000

0

1000

2000

3000

4000

5000

6000

7000

8000

Acu

mu

lad

o d

e v

uln

era

bil

ida

de

s

Vu

lne

rab

ilid

ad

es pú

bli

ca

s p

or

añ

oAcumulado

Anual

# Vendor Vulns

1 Apple 654

2 Microsoft 571

3 Linux-OpenSource 534

4 Cisco 488

5 Oracle 479

6 Adobe 460

7 Google 323

8 IBM 314

9 Mozilla 188

10 Canonical 153

2015 - Top 15 Vendors


Ransomware para servidores

Protección multicapas para

ataques de Ransomware

avanzado

Nuevos ataques como (ex:

SAMSAM) se focalizan en

servidores vulnerables o sin

actualizaciones al día para

secuestrar la información y exigir

un rescate a cambio.


Best Practices for Securing AWS

Workloads*

Understand Your Shared Responsibilities

Get Visibility of Cloud-based Workloads

Bake Security Into Workloads from

Development

Adopt a "No Patch" Strategy for Live

Environments

Use AWS Security Groups but Leverage a

Third-Party Firewall for

Advanced Functionality

Adopt a Workload-Centric Security Strategy* Source: Gartner research note – Best practices for securing workloads in Amazon Web Services, April 2015

Todo en unaúnica

herramienta a nivel de host

Deep Security le permite

Blindar Aplicaciones ySistemas Operativos

conParches Virtuales




y sistemas vulnerablesdiariamente

Host Firewall

Host IPS

Anti-Malware




(SQLi & XSS)


sospechosos

Flexibilidad en el modelo de compra con

AWS

AWS Marketplace Software

En el ambiente

híbridoEn la factura de

AWS

Software as a

Service

Menos trabajo

aws.trendmicro.com

¿ Qué vimos hoy?

1. Top 10 de mejores prácticas.

2. Usuario IAM vs. Usuario Federado.

3. Access keys vs. Contraseñas.

4. Políticas Inline vs. managed policies.

5. Grupos vs. managed policies.

6. Políticas basadas en recursos vs. Políticas basadas en Tags.

7. Una única cuenta AWS vs. varias cuentas AWS.

8. Como TrendMicro nos ayuda a extender funcionalidades de seguridad.

X11

¡Gracias!

Technology

Mejores prácticas de IAM