Cómo gestionar bien los permisos de AWS IAM en una startup: implementación de ConsoleMe

 (engineering.ab180.co)
31 puntos por gjen6s 2022-02-08 | 3 comentarios | Compartir por WhatsApp
  • Política de privilegio mínimo en IAM

"Al crear políticas de IAM, sigue la recomendación estándar de seguridad de otorgar el menor privilegio posible, es decir, solo los permisos mínimos necesarios para realizar una tarea"

Antes se les daba a los desarrolladores todos los permisos, pero se decidió adoptar una política de privilegio mínimo.

  • Implementación de un proceso de solicitud de permisos con Jira

Se retiraron todos los permisos existentes y luego se creó con Jira + Terraform un proceso para solicitar los permisos necesarios.

Sin embargo, era difícil de usar por las siguientes cuatro razones:

  1. Ejecutar terraform apply requería entre 3 y 5 minutos

  2. Tomaba mucho tiempo por el bajo nivel de comprensión de las IAM policy por parte de los desarrolladores

  3. Las solicitudes para agregar permisos eran frecuentes

  4. Como IAM cambia con frecuencia, muchas veces no coincidía con GitHub

  • ConsoleMe, un rayo de esperanza en el mundo de las solicitudes de permisos IAM

Proyecto open source publicado por Netflix en 2020 para facilitar la gestión de permisos IAM en múltiples cuentas de AWS. Proporciona una consola web que permite solicitar permisos IAM y usar permisos temporales para roles. El usuario puede modificar libremente los permisos en el editor web, y cuando el administrador los revisa y aprueba, se aplican de inmediato.

  • Emisión de permisos temporales usando SSO (Single sign-on)

En AWS, recibir permisos temporales para un IAM Role usando AWS STS (Secure Token Service) es más seguro que usar un IAM User. En ConsoleMe, mediante SSO, se puede obtener fácilmente permisos temporales para un IAM Role usando una cuenta de Google o un proveedor de SSO.

  • Entonces, ¿mejoró algo después de implementarlo?

Sí. Después de introducirlo y usarlo durante 6 meses en el equipo, concluyeron que desde que empezaron a usar ConsoleMe, al equipo de seguridad le resultó más fácil gestionar la evidencia y los logs relacionados con las solicitudes de permisos, y para el equipo de desarrollo el proceso pasó de tardar como mínimo 30 minutos y hasta un día entero a una solicitud sencilla que toma alrededor de 5 minutos, por lo que todos quedaron satisfechos.

Lecturas relacionadas

3 comentarios

 
eyelove 2022-02-08

Personalmente, muchas gracias por compartir este buen material. :)

Nosotros también tenemos que reforzar la seguridad por una auditoría contable, así que creo que nos será de ayuda.
 
kbumsik 2022-02-08

No estoy muy seguro, pero... (soy nuevo en una startup...) Parece que no solo en las auditorías de seguridad, sino que también en las auditorías contables revisan la seguridad de TI, ¿no? Vaya, recién me entero.

Mucho ánimo con la preparación para la auditoría, jeje.
 
gjen6s 2022-02-08

Parece que para la mayoría, una auditoría contable es lo que termina siendo el punto de partida para prestar atención a la seguridad jaja

¡Ánimo!