AWS中的云基础设施权限管理

关键要点

客户使用 亚马逊网络服务AWS 来安全地构建、部署和扩展他们的应用程序。随着您组织的发展，您希望精简权限管理，实现对您身份和资源的最小权限管理。在AWS中，我们看到两类客户正在努力实现最小权限：安全团队和开发人员。安全团队希望在其组织内集中检查权限，以识别和修复与访问相关的风险，例如过度权限、异常的资源访问或身份合规性。开发人员则希望使用策略验证工具，帮助他们设置有效的权限，并在构建应用程序时保持最小权限。

客户越来越多地转向云基础设施权限管理CIEM解决方案，以指导其权限管理策略。CIEM解决方案旨在识别、管理和减轻云环境中授予身份和资源的访问权限所带来的风险。虽然CIEM的具体支柱会有所不同，但四个基本能力是广泛公认的：权限智能调整、异常检测、可视化和合规报告。AWS通过以下服务提供这些能力： AWS身份与访问管理IAM访问分析器， Amazon GuardDuty， Amazon Detective， AWS审计管理器， 和 AWS安全中心。在本文中，我将详细探讨这些服务。

权限智能调整

客户主要探索CIEM解决方案，以智能调整他们现有的权限，识别并修复可能带来安全风险的过度权限。在AWS中， IAM 访问分析器 是一个强大的工具，可以帮助您实现这一目标。IAM 访问分析器指导您设置、验证和优化权限。

在设置IAM访问分析器后，它会持续监控您组织内的 AWS身份与访问管理IAM 用户和角色，提供有关过于宽松身份的详细可见性。这使得您的安全团队能够集中审查并识别未使用的访问实例，使他们能够采取积极措施来优化访问权限并减轻风险。

虽然大多数CIEM解决方案优先考虑安全团队的工具，但同样重要的是还要帮助开发人员在部署前确保其策略遵循安全最佳实践。IAM 访问分析器为开发人员提供策略验证和自定义策略检查，以确保他们的策略功能和安全。现在，他们可以利用策略建议来优化未使用的访问，确保身份只具备执行其预期功能所需的权限。

异常检测

安全团队使用异常检测能力来识别偏离身份基线行为的意外事件、观察或活动。在AWS中， Amazon GuardDuty 支持异常检测，例如识别不寻常的登录尝试、未授权的访问尝试或使用被盗凭据进行的可疑API调用。

通过机器学习和威胁情报，GuardDuty能为正常行为建立基线，并标记可能表明潜在威胁或身份受损的偏差。当建立CIEM能力时，您的安全团队可以使用GuardDuty识别与其身份相关的威胁和异常行为。

可视化

可视化有两个目标。第一个目标是集中检查身份的安全姿态，第二个目标是全面了解身份如何与您AWS环境中的各种资源连接。IAM 访问分析器提供一个仪表板，集中审查身份。该仪表板帮助安全团队在规模上获取权限的有效使用情况，以及识别需要关注的主要帐户。通过查看仪表板，您可以分析高发现数量的帐户和最常出现的问题，例如未使用的角色，来确定需要重点关注的区域。

Amazon Detective帮助您在AWS中可视化审查单个身份。当GuardDuty识别到威胁时，Detective会生成一个身份及其与资源如 亚马逊弹性计算云Amazon EC2 实例、 亚马逊简单存储服务Amazon S3 桶或 AWS Lambda 函数之间关系的可视化表示。这种图形化视图提供对与每个身份关联的访问模式的清晰理解。Detective可视化访问模式，突出身份的异常活动，包括未授权的访问尝试、可疑的API调用或意外的资源交互。您可以依赖Detective生成身份与资源之间关系的可视化表示。

合规报告

安全团队与审计员合作，评估身份、资源及权限是否符合组织的合规要求。AWS审计管理器 自动化证据收集，帮助您满足合规报告和审计需求。这些自动化的证据包包括有关身份的报告。具体而言，您可以使用审计管理器分析IAM策略和角色，识别潜在配置错误、过度权限或偏离最佳实践的情况。

审计管理器提供详细的合规报告，突显不合规的身份或访问控制，使您的审计员和安全团队能够采取纠正措施并支持持续遵循法规和组织标准。除了监控和报告，审计管理器还提供指导，以修复某些类型的不合规身份或访问控制，从而减轻安全团队的负担，并支持及时解决识别出的问题。

单一视窗

虽然客户欣赏AWS在各种服务中提供的多样化功能，但他们也希望获得一个统一和整合的视角，将这些不同来源的数据汇聚在一起。AWS安全中心 满足了这种需求，提供一个单一视窗，让您全面了解自己的安全姿态。安全中心作为一个集中枢纽，汇聚多个AWS服务的发现，并呈现身份在整个组织中的管理和使用的综合视图。

结论

CIEM解决方案旨在识别、管理和减轻与云环境中授予身份和资源的访问权限相关的风险。本文提到的AWS服务可以帮助您实现CIEM目标。如果您想探索AWS中的CIEM能力，请使用本文提到的服务或查看以下资源。

资源

如果您对本文有反馈，请在评论部分提交意见。如果您对本文有疑问， 请联系AWS支持。

Mathangi RameshMathangi是AWS IAM访问分析器的首席产品经理。她喜欢和客户交流，并利用数据解决问题。在工作之外，Mathangi 是一名健身爱好者和 Bharatanatyam 舞者。她拥有卡内基梅隆大学的MBA学位。

标签 AWS IAM访问分析器 IAM 安全博客