So gelingt gutes AWS-IAM-Berechtigungsmanagement im Startup – Einführung von ConsoleMe

 (engineering.ab180.co)
31 Punkte von gjen6s 2022-02-08 | 3 Kommentare | Auf WhatsApp teilen
  • IAM-Richtlinien mit minimalen Rechten

„Beim Erstellen von IAM-Richtlinien sollte man der üblichen Sicherheitsempfehlung des Least-Privilege-Prinzips folgen und nur die minimalen Berechtigungen gewähren, die für die Ausführung einer Aufgabe erforderlich sind.“

Bisher wurden Entwicklern alle Berechtigungen gegeben, doch dann fiel die Entscheidung, künftig einer Least-Privilege-Richtlinie zu folgen.

  • Einführung eines Berechtigungsantragsprozesses mit Jira

Zunächst wurden alle bestehenden Berechtigungen eingesammelt, danach wurde mit Jira + Terraform ein Prozess aufgebaut, über den notwendige Berechtigungen beantragt werden können.

Aus den folgenden vier Gründen war das jedoch schwer nutzbar:

  1. Ein terraform apply benötigt etwa 3 bis 5 Minuten

  2. Wegen des geringen Verständnisses der Entwickler für IAM-Policies dauerte es oft lange

  3. Zusätzliche Berechtigungen mussten häufig nachbeantragt werden

  4. Aufgrund der häufigen Änderungen bei IAM war GitHub oft nicht synchron

  • ConsoleMe, ein Lichtblick bei IAM-Berechtigungsanträgen

Ein Open-Source-Projekt, das Netflix 2020 veröffentlicht hat und das das einfache Management von IAM-Berechtigungen in mehreren AWS-Konten unterstützt. Es stellt eine Web-Konsole bereit, über die IAM-Berechtigungen beantragt und temporäre Berechtigungen für Roles genutzt werden können. Nutzer können Berechtigungen im Web frei mit dem Berechtigungseditor anpassen, und sobald ein Administrator sie geprüft und genehmigt hat, werden sie sofort angewendet.

  • Ausgabe temporärer Berechtigungen mit SSO (Single sign-on)

Unter AWS ist es sicherer, mit AWS STS (Secure Token Service) temporäre Berechtigungen für eine IAM Role zu erhalten, als einen IAM User zu verwenden. ConsoleMe erleichtert es, über SSO mit einem Google-Konto oder einem SSO-Provider temporäre Berechtigungen für eine IAM Role zu erhalten.

  • Hat sich die Einführung also verbessert?

Ja. Nach sechs Monaten Einführung und Nutzung im Team zeigte sich im Gespräch, dass seit dem Einsatz von ConsoleMe das Sicherheitsteam Nachweise und Logs rund um Berechtigungsanträge einfacher verwalten kann. Für das Entwicklungsteam wurde aus einem Prozess, der mindestens 30 Minuten und im Extremfall bis zu einem Tag dauerte, ein einfacher Berechtigungsantrag, der nur noch etwa 5 Minuten braucht, womit alle zufrieden waren.

Verwandte Beiträge

3 Kommentare

 
eyelove 2022-02-08

Vielen Dank persönlich für das gute Material. :)

Auch wir müssen wegen der Buchprüfung die Sicherheit verstärken, daher scheint das hilfreich zu sein.
 
kbumsik 2022-02-08

Ich kenne mich da nicht so gut aus (bin neu in einem Startup ...), aber anscheinend wird nicht nur bei Sicherheitsprüfungen, sondern auch bei Finanzprüfungen die IT-Sicherheit überprüft. Krass, das wusste ich vorher gar nicht.

Viel Erfolg bei der Vorbereitung auf die Prüfung :)
 
gjen6s 2022-02-08

Meistens wird man erst durch eine Rechnungsprüfung dazu gebracht, sich um Sicherheit zu kümmern, haha.

Viel Erfolg~