Best practice per MFA su account AWS root

5

Vorrei attivare l'autenticazione a più fattori nell'account root AWS della mia organizzazione, tuttavia non sono sicuro delle migliori pratiche su come farlo.

Abbiamo già account IAM separati per ogni persona che ha bisogno di accesso; la maggior parte di tutti gli account è estremamente limitata nelle autorizzazioni, ma molti di noi hanno accesso completo all'amministratore tramite IAM. Richiedere l'MFA per l'account IAM di ogni utente è facile poiché tutti possono configurare Google Authenticator o Authy sui propri dispositivi personali. Tuttavia, fare la stessa cosa con l'account root sembra poco saggio, poiché limiterebbe l'accesso a una singola persona (che non è molto a prova di bus). Un paio di idee che ho avuto sono:

  1. Abilita MFA e consenti a 2-3 amministratori di eseguire la scansione del codice QR (per l'account di root) contemporaneamente.
  2. Crea un account Authy condiviso contenente per questo scopo e registra la password da qualche parte sicura che un amministratore può accedervi se necessario.

C'è una buona pratica per fare questa o un'altra opzione che mi manca?

    
posta crgwbr 09.08.2017 - 19:46
fonte

2 risposte

3

Un'altra opzione che ho usato è sincronizzare un token hardware (come quelli che RSA ti venderà) all'account, quindi mettere il token in una società sicura. Finché si mantiene la sicurezza fisica della cassastrong, il token è protetto. Sarà fastidioso passare attraverso il processo di ottenere il token fuori dalla cassastrong (ci dovrebbero essere solo poche persone che hanno accesso ad esso e un processo per aprirlo), ma va bene perché non stai usando la root account regolarmente, solo per scopi di recupero di emergenza.

    
risposta data 09.08.2017 - 22:32
fonte
2

Ecco come ho scritto una soluzione a questo:

Il prodotto Vault di HahsiCorp ti consente di registrare tutti gli accessi a qualsiasi credenziale e supporta gli hash TOTP in modo tale da permetterti di leggere il valore corrente ma non la chiave segreta. Per utilizzare l'accesso root, ottieni il token corrente da Vault.

Per assicurarti di non perdere l'accesso, fai dei buoni backup. Per garantire che i tuoi backup non siano compromessi, dividi la decrittografia principale rispetto al numero appropriato di individui nella tua organizzazione e crittografalo alle chiavi PGP sul token hardware.

In questo modo finché un'istanza di Vault è in esecuzione, qualsiasi persona autorizzata può utilizzare le credenziali di root e saprai chi è stato. Realmente ottenere il segreto MFA di root richiederebbe la collusione tra più persone.

    
risposta data 09.08.2017 - 21:19
fonte

Leggi altre domande sui tag