SEC03-BP06 Zugriffsverwaltung basierend auf dem Lebenszyklus - Säule der Sicherheit

SEC03-BP06 Zugriffsverwaltung basierend auf dem Lebenszyklus

Überwachen Sie die Berechtigungen, die Ihren Prinzipalen (Benutzern, Rollen und Gruppen) während ihres gesamten Lebenszyklus in Ihrer Organisation gewährt werden, und passen Sie sie an. Passen Sie die Gruppenmitgliedschaften an, wenn Benutzer ihre Rolle ändern, und entfernen Sie den Zugriff, wenn ein Benutzer die Organisation verlässt.

Gewünschtes Ergebnis: Sie überwachen und passen die Berechtigungen während des gesamten Lebenszyklus der Prinzipale innerhalb der Organisation an und reduzieren so das Risiko unnötiger Rechte. Sie gewähren den entsprechenden Zugriff, wenn Sie einen Benutzer anlegen. Sie ändern den Zugriff, wenn sich die Aufgaben des Benutzers ändern, und Sie entfernen den Zugriff, wenn der Benutzer nicht mehr aktiv ist oder die Organisation verlassen hat. Sie verwalten Änderungen an Ihren Benutzern, Rollen und Gruppen zentral. Sie verwenden die Automatisierung, um Änderungen in Ihren AWS-Umgebungen zu verbreiten.

Typische Anti-Muster:

  • Sie erteilen Identitäten im Voraus übermäßige oder weitreichende Zugriffsrechte, die über das zunächst erforderliche Maß hinausgehen.

  • Sie überprüfen und ändern die Zugriffsberechtigungen nicht, wenn sich Rollen und Verantwortlichkeiten der Identitäten im Laufe der Zeit ändern.

  • Sie entfernen aktive Zugriffsberechtigungen nicht von inaktiven oder beendeten Identitäten. Dies erhöht das Risiko eines unbefugten Zugriffs.

  • Sie nutzen keine Automatisierung, um den Lebenszyklus von Identitäten zu verwalten.

Risikostufe bei fehlender Befolgung dieser bewährten Methode: Mittel

Implementierungsleitfaden

Verwalten Sie die Zugriffsprivilegien, die Sie Identitäten (z. B. Benutzern, Rollen, Gruppen) gewähren, sorgfältig und passen Sie sie im Laufe ihres Lebenszyklus an. Dieser Lebenszyklus umfasst die anfängliche Onboarding-Phase, laufende Änderungen der Rollen und Verantwortlichkeiten und schließlich das Offboarding oder die Kündigung. Verwalten Sie den Zugriff proaktiv je nach Stadium des Lebenszyklus, um die richtige Zugriffsstufe zu erhalten. Halten Sie sich an das Prinzip der geringsten Berechtigung, um Risiken durch übermäßige oder unnötige Zugriffsberechtigungen zu verringern.

Sie können den Lebenszyklus von IAM-Benutzern direkt innerhalb des AWS-Konto oder durch den Verbund Ihres Identitätsanbieters für Mitarbeiter mit AWS IAM Identity Center verwalten. Für IAM-Benutzer können Sie innerhalb des AWS-Konto Benutzer und die damit verbundenen Berechtigungen erstellen, ändern und löschen. Für Verbundbenutzer können Sie IAM Identity Center verwenden, um ihren Lebenszyklus zu verwalten. Hierzu synchronisieren Sie Benutzer- und Gruppeninformationen aus dem Identitätsanbieter Ihrer Organisation über das Protokoll System for Cross-domain Identity Management (SCIM).

SCIM ist ein offenes Standardprotokoll für die automatisierte Bereitstellung und Deprovisionierung von Benutzeridentitäten über verschiedene Systeme hinweg. Durch die Integration Ihres Identitätsanbieters mit IAM Identity Center unter Verwendung von SCIM können Sie Benutzer- und Gruppeninformationen automatisch synchronisieren und so sicherstellen, dass Zugriffsberechtigungen auf der Grundlage von Änderungen in der maßgeblichen Identitätsquelle Ihrer Organisation gewährt, geändert oder entzogen werden.

Wenn sich die Rollen und Zuständigkeiten der Mitarbeiter in Ihrer Organisation ändern, passen Sie ihre Zugriffsrechte entsprechend an. Sie können die Berechtigungssätze von IAM Identity Center verwenden, um verschiedene Job-Rollen oder -Verantwortlichkeiten zu definieren und sie mit den entsprechenden IAM-Richtlinien und -Berechtigungen zu verknüpfen. Wenn sich die Rolle eines Mitarbeiters ändert, können Sie die ihm zugewiesenen Berechtigungen aktualisieren, um die neuen Verantwortlichkeiten zu berücksichtigen. Vergewissern Sie sich, dass sie über den erforderlichen Zugriff verfügen, und halten Sie sich dabei an das Prinzip der geringsten Berechtigung.

Implementierungsschritte

  1. Definieren und dokumentieren Sie einen Lebenszyklusprozess für die Zugriffsverwaltung, einschließlich Verfahren für die Gewährung des Erstzugriffs, regelmäßige Überprüfungen und das Offboarding.

  2. Implementieren Sie IAM-Rollen, -Gruppen und -Berechtigungsgrenzen, um den Zugriff kollektiv zu verwalten und die maximal zulässigen Zugriffsstufen durchzusetzen.

  3. Führen Sie eine Integration mit einem Anbieter von Verbundidentitäten (z. B. Microsoft Active Directory, Okta, Ping Identity) als autoritativer Quelle für Benutzer- und Gruppeninformationen mit IAM Identity Center durch.

  4. Verwenden Sie das SCIM-Protokoll, um Benutzer- und Gruppeninformationen aus dem Identitätsanbieter mit dem Identitätsspeicher von IAM Identity Center zu synchronisieren.

  5. Erstellen Sie in IAM Identity Center Berechtigungssätze, die verschiedene Jobrollen oder Verantwortlichkeiten in Ihrer Organisation repräsentieren. Definieren Sie die entsprechenden IAM-Richtlinien und -Berechtigungen für jeden Berechtigungssatz.

  6. Führen Sie regelmäßige Zugriffsüberprüfungen, sofortigen Zugriffsentzug und eine kontinuierliche Verbesserung des Lebenszyklusprozesses der Zugriffsverwaltung ein.

  7. Schulung und Sensibilisierung der Mitarbeiter für die bewährten Methoden der Zugriffsverwaltung.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Videos: