Überprüfung der Berechtigungen von Nutzern, Diensten und Ressourcen

In IT-Umgebungen sollten Verantwortliche die Rechte von Nutzern, Diensten und Ressourcen regelmäßig überprüfen. Denn einmal verliehene Berechtigungen können mit der Zeit obsolet werden. Hinzu kommt, dass eine zu großzügige Rechteverteilung Sicherheitsrisiken birgt. In einer AWS-Cloud-Umgebung ist es relativ einfach, Rechte zu kontrollieren und auf diese Weise Schwachstellen zu identifizieren.

Bild: AWS

Da Sie Ressourcen in der Cloud schnell provisionieren und Tausende von Servern in wenigen Minuten zur Verfügung stellen können, sollten Sie zuerst hier ansetzen und die Einhaltung der Ressourcen-Richtlinien überprüfen. Dadurch können Sie zum Beispiel einen unerwünschten öffentlichen oder kontenübergreifenden Zugriff erkennen. AWS Identity and Access Management (IAM) hilft Ihnen, solche Ressourcen zu identifizieren und umgehend zu reagieren.

Öffnen Sie die AWS-Konsole in der Region, für die die Ergebnisse generiert werden sollen. Unter Services wählen Sie dann IAM aus. Aus dem Menü auf der linken Seite wählen Sie “Access Analyzer”, auf der rechten Seite des Begrüßungsbildschirms “Create Analyzer”. Geben Sie einen aussagekräftigen Namen ein. Anschließend klicken Sie auf “Create Analyzer”. Nachdem die erste Indizierung abgeschlossen ist, erscheinen in der Konsole Ergebnisse für die jeweiligen Ressourcen, beispielsweise Schlüssel aus dem AWS Key Management Service (KMS) und IAM-Rollen, die für andere Konten und föderierte Benutzer zugänglich sind.

Der IAM Access Analyzer kann damit zum Beispiel aufzeigen, dass ein Amazon S3-Bucket namens Bucket-1 für einen AWS-Account mit der ID 123456789012 zugänglich ist, sofern die Anfrage von der Quell-IP 11.0.0.0/15 stammt. Oder es wird eine AWS KMS-Schlüsselrichtlinie erkannt, die es Benutzern eines anderen Kontos erlaubt, den Schlüssel zu löschen.

Mit einem Klick auf die einzelnen Einträge können Sie die Ergebnisse genauer betrachten. Sie haben die Wahl, das Ergebnis entweder zu archivieren, wenn der festgestellte Zugriff auf die Ressource erlaubt ist, oder aber in die Problembehebung einzusteigen. Bei AWS KMS-Schlüsseln ist beispielsweise direkt die AWS KMS-Konsole im Ergebnis verlinkt. Dementsprechend führen die Ergebnisse zu Amazon S3 Buckets in die entsprechende Konsole. Die dazugehörigen Richtlinien lassen sich dort überarbeiten.

Die vom IAM Access Analyzer generierten Ergebnisse mit hoher Priorität werden außerdem im AWS Security Hub gespeichert. Dadurch entsteht eine zentral gültige Quelle für alle Compliance- und Sicherheitsinformationen. Zudem ist der IAM Access Analyzer zusätzlich in Amazon CloudWatch Events integriert. So ist es möglich, automatisch auf Schwachstellen zu reagieren oder regelbasierte Warnungen an Nutzer zu verschicken.

Weitere Informationen: https://aws.amazon.com/blogs/aws/identify-unintended-resource-access-with-aws-identity-and-access-management-iam-access-analyzer