È possibile utilizzare la gestione di identità e accesso AWS di Amazon (IAM) per gestire l'accesso al server?

0

Il requisito 8.1.1 di PCI DSS afferma:

Assign all users a unique ID before allowing them to access system components or cardholder data.

Utilizzo di Amazon IAM Posso configurare account individuali per gli utenti in modo che non debbano accedere alla console di Amazon AWS come l'account di root.

Tuttavia, non credo che IAM possa essere utilizzato per gestire le credenziali di Linux e Windows sulle istanze all'interno del nostro account AWS.

Se gli account di root e di amministratore in esecuzione nelle istanze indicano che non possiamo soddisfare questo requisito utilizzando IAM? Se necessario, potremmo mettere in atto una politica che attesti che gli utenti non si collegano alle istanze dal vivo e che gli account di root e di amministratore su queste caselle vengono utilizzati solo per alterare le immagini (AMI) da cui sono create le istanze.

Tuttavia, poiché le AMI condividono le credenziali con tutte le istanze create da loro, non possiamo mantenerle private.

Installare un server Active Directory sembra eccessivo in questa situazione e probabilmente inaffidabile a causa della natura transitoria delle istanze EC2.

    
posta SilverlightFox 05.01.2015 - 19:15
fonte

2 risposte

1

However, I don't believe IAM can be used to manage Linux and Windows credentials on the instances within our AWS account.

Puoi farlo praticamente tramite le istanze di OpsWorks per Linux. OpsWorks ti consente di registrare gli utenti IAM con uno stack e quindi di orchestrare la creazione del loro account e gestendo la loro chiave SSH pubblica. Hai anche la possibilità di lasciare che gestiscano la loro chiave SSH pubblica se vuoi e controlla se hanno privilegi sudo.

Does having root and administrator accounts running on our instances mean that we cannot meet this requirement using IAM?

C'è un'opzione in OpsWorks per avviare istanze senza una chiave SSH predefinita che credo significhi l'unico modo per accedere tramite uno degli utenti IAM. Ciò può rendere un po 'difficile il debug se si verificano problemi prima che l'agente OpsWorks sia avviato.

Non sono un esperto di PCI DSS, quindi non sono sicuro se ci sono aspetti su come OpsWorks gestisce le istanze che potrebbero impedire la conformità.

    
risposta data 06.01.2015 - 11:21
fonte
0

Ho chiesto se stavi usando un VPC perché non lo ritengo molto transitorio. Sicuramente, se stai cercando di ottenere la certificazione PCI, vorresti un sistema di servizi di directory centrale sia che si tratti di AD o di LDAP. È possibile ruotare rapidamente le istanze verso l'alto o verso il basso, ma si creano sottoreti e si assegnano sistemi a tali sottoreti. Per inciso, è più o meno necessario in PCI avere la segmentazione di rete.

Per rispondere alla tua domanda specifica, gli accessi condivisi non sono accettabili come da 8.1.1. Si tratta di account di qualsiasi tipo su sistemi o applicazioni nell'ambito PCI. Come espone ulteriormente nel documento che hai collegato, questo è a scopo di controllo. Se gli utenti non sono identificati in modo univoco, in che modo puoi determinare chi ha eseguito l'azione in un momento specifico?

    
risposta data 06.01.2015 - 09:50
fonte

Leggi altre domande sui tag