Demo Access analyzer and Credential report

Clase 7 de 75Curso de AWS Certified Solutions Architect Associate

Clase anteriorSiguiente clase

Resumen

La seguridad en la nube es un aspecto fundamental para cualquier organización, especialmente para instituciones financieras que manejan datos sensibles. AWS ofrece herramientas poderosas para monitorear y gestionar el acceso a recursos, permitiendo identificar posibles vulnerabilidades antes de que se conviertan en problemas de seguridad. Conocer estas herramientas y su implementación adecuada puede marcar la diferencia entre un entorno seguro y uno vulnerable a amenazas externas.

¿Cómo detectar recursos expuestos de forma insegura en AWS?

Cuando trabajamos con múltiples recursos en AWS, es crucial asegurarnos de que no estén siendo compartidos o expuestos de manera insegura. Access Analyzer es la herramienta que nos permite identificar estos posibles riesgos de seguridad, especialmente cuando se trata de recursos críticos como buckets S3 que podrían contener información sensible.

Esta herramienta forma parte del servicio IAM (Identity and Access Management) y nos ayuda a establecer, verificar y refinar las políticas de acceso en nuestro entorno de AWS. Para acceder a ella, debemos:

  1. Ingresar al servicio IAM en la consola de AWS.
  2. Buscar en el menú lateral la sección "Reportes de acceso".
  3. Seleccionar "Access Analyzer".

Al ingresar, encontraremos un dashboard inicial con información sobre el funcionamiento de la herramienta, sus beneficios y detalles sobre precios.

¿Qué tipos de análisis podemos realizar con Access Analyzer?

Access Analyzer nos permite crear dos tipos principales de análisis:

  1. Accesos externos: Identifica recursos que están siendo compartidos con entidades externas a nuestra cuenta de AWS.
  2. Accesos no utilizados: Detecta roles, usuarios, claves y contraseñas que no han sido utilizados recientemente.

Cuando creamos un analyzer, los resultados se conocen como "findings" o hallazgos. Estos hallazgos nos proporcionan información detallada sobre posibles problemas de seguridad en nuestra infraestructura.

¿Cómo interpretar los hallazgos de accesos externos?

Al revisar un hallazgo de acceso externo, podemos obtener información valiosa como:

  • Un identificador único para el hallazgo.
  • El tipo de recurso que está siendo compartido (por ejemplo, un rol de IAM).
  • La cuenta externa con la que se está compartiendo el recurso.
  • El propietario del recurso.

Cada hallazgo incluye enlaces directos a los recursos afectados, lo que facilita la revisión y modificación de las políticas de acceso si es necesario.

¿Cómo gestionar credenciales y accesos no utilizados?

Además de identificar accesos externos, AWS nos ofrece herramientas para gestionar credenciales y detectar accesos no utilizados.

Reporte de credenciales en IAM

El reporte de credenciales es una herramienta valiosa que nos proporciona información detallada sobre los usuarios de IAM en nuestra cuenta. Para acceder a este reporte:

  1. Ingresamos a la sección de "Reporte de credenciales" en IAM.
  2. Hacemos clic en el botón para descargar el reporte.

Este reporte incluye información como:

  • Lista de todos los usuarios en la cuenta.
  • Fecha de creación de cada usuario.
  • Estado de las contraseñas (habilitadas o deshabilitadas).
  • Última vez que se utilizó cada usuario.

Esta información es crucial para aplicar el principio de menor privilegio, permitiéndonos identificar y eliminar usuarios o permisos innecesarios.

Detección de accesos no utilizados

La función de detección de accesos no utilizados nos ayuda a identificar roles, usuarios, claves y contraseñas que no han sido utilizados recientemente. Esto facilita la aplicación del principio de privilegio mínimo al permitirnos eliminar permisos innecesarios.

Es importante mencionar que esta característica puede incurrir en costos adicionales. Se recomienda revisar la documentación de precios antes de habilitarla.

¿Por qué es importante el monitoreo continuo de accesos?

En entornos empresariales en crecimiento, como un banco que ha adquirido una empresa con más de 200 cuentas de AWS, el monitoreo de accesos se vuelve aún más crítico. El crecimiento exponencial y la compartición de recursos entre cuentas aumentan los riesgos de seguridad.

Mantener una trazabilidad clara de:

  • A quién estamos compartiendo nuestros recursos.
  • Qué usuarios están o no utilizando sus accesos.

Esto nos permite aplicar efectivamente el principio de menor privilegio, reduciendo la superficie de ataque y mejorando nuestra postura de seguridad general.

La implementación de herramientas como Access Analyzer y el monitoreo regular de reportes de credenciales son prácticas fundamentales para mantener un entorno AWS seguro, especialmente cuando se gestionan múltiples cuentas y recursos compartidos. Estas prácticas no solo mejoran la seguridad, sino que también optimizan costos al eliminar accesos innecesarios.