Como gerenciar bem permissões do AWS IAM em uma startup — adoção do ConsoleMe

 (engineering.ab180.co)
31 pontos por gjen6s 2022-02-08 | 3 comentários | Compartilhar no WhatsApp
  • Política de menor privilégio no IAM

"Ao criar políticas do IAM, siga a orientação padrão de segurança de conceder o menor privilégio possível, ou seja, apenas as permissões mínimas necessárias para executar a tarefa"

Antes, todos os privilégios eram concedidos aos desenvolvedores, mas decidiu-se passar a seguir a política de menor privilégio.

  • Introdução de um processo de solicitação de permissões usando Jira

Depois de recolher todas as permissões existentes, foi criado com Jira + Terraform um processo para solicitar apenas as permissões necessárias.

Mas era difícil de usar pelos quatro motivos abaixo:

  1. Leva cerca de 3 a 5 minutos para executar terraform apply

  2. Demora muito por causa do baixo entendimento dos desenvolvedores sobre políticas de IAM

  3. As solicitações de permissões adicionais são frequentes

  4. Como o IAM muda com frequência, muitas vezes ele não fica sincronizado com o GitHub

  • ConsoleMe, um raio de esperança para solicitações de permissões no IAM

Projeto open source lançado pela Netflix em 2020 para ajudar a gerenciar permissões do IAM com facilidade em múltiplas contas AWS. Ele oferece um console web que ajuda tanto na solicitação de permissões do IAM quanto no uso de permissões temporárias para Roles. O usuário pode editar livremente as permissões no editor web, e quando o administrador revisa e aprova, elas são aplicadas imediatamente.

  • Emissão de permissões temporárias usando SSO (Single sign-on)

No AWS, usar o AWS STS (Secure Token Service) para obter permissões temporárias para uma IAM Role é mais seguro do que usar um IAM User. No ConsoleMe, é possível obter com facilidade permissões temporárias para uma IAM Role via SSO, usando uma conta Google ou outro provedor de SSO.

  • Então, depois da adoção, melhorou?

Sim. Depois de usar a ferramenta na equipe por 6 meses, a conclusão foi que, desde a adoção do ConsoleMe, a equipe de segurança passou a gerenciar com mais facilidade as evidências e os logs relacionados às solicitações de permissões, enquanto a equipe de desenvolvimento trocou um processo que antes levava no mínimo 30 minutos e no máximo um dia inteiro por um fluxo simples de solicitação de permissões que leva cerca de 5 minutos, deixando todos satisfeitos.

Leituras relacionadas

3 comentários

 
eyelove 2022-02-08

Pessoalmente, muito obrigado por este ótimo material. :)

Nós também precisamos reforçar a segurança por causa da auditoria contábil, então acho que isso vai ajudar.
 
kbumsik 2022-02-08

Não entendo muito bem disso (sou novato em startup...), mas pelo visto não é só auditoria de segurança, em auditoria contábil também auditam a segurança de TI, né? Caramba, foi a primeira vez que soube disso.

Boa sorte na preparação para a auditoria haha
 
gjen6s 2022-02-08

Parece que, na maioria das vezes, é a auditoria contábil que acaba virando o gatilho para começar a dar atenção à segurança haha

Força aí~