Baixe o app para aproveitar ainda mais
Prévia do material em texto
Unidade 2 - Configuração segura de servidores em nuvem Acesso seguro a servidores em nuvem A adoção da computação em nuvem já é uma realidade presente em muitas organizações e uma tendência no ambiente de TI. As empresas têm adotado o planejamento de migração parcial ou total para recursos computacionais que funcionem como serviços simples e que sustentem suas infraestruturas de TI com plataformas e aplicações disponíveis para o acesso de usuários. A computação em nuvem tem pontos importantes a serem analisados para a sua adesão, e um dos principais diz respeito aos desafios relacionados à segurança da informação. Os padrões de segurança atuais são estabelecidos em camadas diferentes da arquitetura de infraestrutura de TI: rede, servidor e aplicação. No ambiente computacional em nuvem, podemos ter modelos de serviços diferentes, que podem ser: a infraestrutura (IaaS), a plataforma (PaaS) ou o software (SaaS), e para cada um há abordagens diferentes dos mecanismos de acesso, de acordo com o formato de implantação da nuvem (pública, privada ou híbrida). Podemos avaliar o modelo de serviço ao analisarmos os riscos relacionados à segurança em relação ao controle do ambiente e aos mecanismos de segurança implementados, de acordo com o Diagrama 1: Diagrama 1. Relação entre controle de usuário e segurança nos modelos de serviços em nuvem. Fonte: LUDWIG; COETZEE, 2013, p. 26. (Adaptado). Em um ambiente IaaS, o controle sobre os recursos de infraestrutura é maior, fazendo com que a exposição aos riscos relacionados à segurança seja maior, dependendo do tipo de interação do usuário com o ambiente. Quanto menor for o controle do usuário final sobre o ambiente, menor será a possibilidade de ocorrer riscos. Quando pensamos nos formatos de acesso aos recursos em nuvem no modelo IaaS, existem pontos de acesso que devem ser considerados de acordo com o método de interação com o ambiente de nuvem: o acesso por um console de gerenciamento via internet, ou através de uma arquitetura de comunicação remota padronizada por API (Application Program Interface). CONTEXTUALIZANDO O formato mais comum de arquitetura para API é o modelo Representational State Transfer (REST). Para garantir um acesso mais seguro aos recursos computacionais em nuvem, independentemente do modelo de implantação ser público, privado ou híbrido, vejamos algumas considerações a respeito dos métodos e de boas práticas de acesso: A forma mais comum de acesso a um provedor de infraestrutura em nuvem é por meio de um console de gerenciamento web, que possibilita um gerenciamento mais otimizado e fácil para o cliente que o utilizará. Para isso, é necessário manter o acesso seguro à interface, através de uma política de senhas específica para as credenciais de login com permissão de acesso de administração de todo o ambiente computacional, que crie e mantenha a complexidade das senhas: um tamanho considerável, com no mínimo 12 caracteres, combinando letras, maiúsculas e minúsculas, números e caracteres especiais; Outro tipo de controle é verificar a configuração de inatividade de sessão do console, a fim de forçar que o sistema de gerenciamento realize um logout após determinado tempo em que a interface estiver ociosa; É boa prática de segurança ativar no provedor, sempre que possível, um mecanismo de autenticação multifatorial, combinando a definição de uma senha de acesso com um código de verificação de login, com eles o gerenciador web enviará um SMS ou e-mail, ao cliente, com uma sequência de validação do acesso, a partir do momento em que ele inserir um usuário e senha válidos; A possibilidade de tornar as tarefas de gerenciamento da infraestrutura mais dinâmicas e automatizadas é alcançada com a utilização de recursos em formato de APIs. Uma API é um grupo de padrões, definições e protocolos usados para desenvolver e integrar aplicações e serviços, independentemente de como esses são implementados; Para a segurança do ambiente, assim como o console de gerenciamento via web, é primordial garantir o controle de acesso às APIs implementadas na infraestrutura. Dependendo do ambiente computacional, para que o gerenciamento não seja feito por meio das interfaces de APIs, é boa prática de proteção desativá-las; Se o gerenciamento através de APIs web for de uso comum, e utilizar principalmente o protocolo HTTP para tal fim, é recomendável utilizar de mecanismos de segurança na comunicação, como protocolos de criptografia de transporte SSL/TLS, que ativam o HTTPS; ativar a autenticação via HTTP através de códigos específicos para as APIs chamados UIDs; e determinar uma lista limitada de IPs permitidos para realizar a conexão através das APIs. Na Figura 1 vemos um exemplo de como as APIs se comunicam com as aplicações finais de usuário do OpenStack, uma plataforma IaaS, manipulando recursos de infraestrutura (processamento, rede e armazenamento) como serviços compartilhados. Figura 1. Comunicação de APIs em ambiente IaaS. Fonte: LUKAN,, 2014. Por se tratar de um modelo de compartilhamento de recursos computacionais, um dos grandes desafios do formato IaaS é manter a separação de privilégios e controles de segurança entre diferentes usuários na infraestrutura comum, visando a proteção de todos os dados em trânsito dos negócios dos clientes que executam seus recursos em nuvem. É de suma importância que um usuário não consiga visualizar o tráfego realizado por qualquer outro que use a mesma plataforma. Uma abordagem de segurança que vem crescendo no acesso com segurança aos ambientes em nuvem é a utilização do modelo de aplicação para controle de tráfego de dados Cloud Access Security Broker (CASB). Esse tipo de sistema de controle pode ser associado à plataforma de nuvem utilizada, ou a um formato de gerenciamento on-premise, com a finalidade de atuar como uma espécie de gateway, entre o provedor de serviços e o cliente da nuvem, na aplicação de políticas de segurança corporativa nos acessos à nuvem. Através desse tipo de software, é possível realizar o controle de autenticação e de autorização, o mapeamento de credenciais, os perfis de acesso, e gerar alertas e registros de eventos sobre as informações acessadas na plataforma de nuvem, notificando possíveis riscos à segurança da informação. Na Figura 2 vemos um exemplo de modelo de dashboard produzido por uma ferramenta do tipo CASB na plataforma em nuvem da Oracle. Figura 2. Dashboard de aplicação CASB. Fonte: Oracle. Acesso em: 16 nov. 2019 Gestão de identidade e acesso Para controlar a segurança dos recursos presentes em uma arquitetura de TI, seja ela tradicional ou um serviço em nuvem, não podemos deixar de realizar a identificação de cada acesso realizado por usuários ou por serviços. Para isso, o conceito de gerenciamento de identidades digitais visa garantir, de forma adequada, mecanismos, como os privilégios de acesso, as credenciais de autenticação, as permissões efetivas em relação aos recursos e a data de expiração de determinado login. A identidade digital de um recurso, seja uma aplicação, um processo, um dispositivo ou um usuário, representa entidades de forma única e intransferível. Para a criação do padrão de identidade digital de um recurso, são configuradas associações a uma série de atributos para as entidades, centralizando as credenciais de acesso do ambiente. Isso evita a proliferação de usuários e padrões de autenticação para os colaboradores ou processos envolvidos, o que torna mais eficaz o dimensionamento e a aplicação das permissões de acesso para as entidades envolvidas em um ambiente. Ao determinar um mecanismo de gestão de identidade e acesso a um ambiente, alguns itens de controle de segurança da informação são diagnosticados para serem controlados de forma mais eficiente, como: autenticação de umaentidade ou usuário, que mitiga questões relacionadas a roubo de identidade de uma pessoa ou processo; coibição de anonimato de acesso, que corrige falhas no rastreamento de um acesso ou o compartilhamento de contas de usuários entre diversas pessoas ou processos; e usabilidade, que evita a proliferação de senhas que os usuários tenham de decorar, inibindo a exposição delas. No Diagrama 2 identificamos os principais itens envolvidos em um ambiente de gerenciamento de identidade e acesso: Diagrama 2. Itens de gestão de identidade e acesso. De todos os benefícios da adoção de um sistema de gerenciamento de identidade e acesso, citamos os principais: Gerenciamento de usuários simplificado Todo o processo de administração de contas de usuários (criação, alteração, bloqueio, troca de senha, exclusão) se torna menos complexo, devido à centralização da autenticação; Autorização de acesso centralizada Ao atribuir um perfil ou um grupo de permissões efetivas aos recursos, todo usuário, seja novo ou já existente, herdará todas as autorizações de forma direta, sem a necessidade de especificar acessos individualmente. A possibilidade de concessões temporárias também fica mais prática, principalmente para colaboradores terceirizados, que vão acessar os recursos em prazo definido; Controle de segurança mais eficiente Com a centralização das identidades em um repositório comum para todos os sistemas e recursos, é possível rastrear qualquer tentativa de acesso ou comportamento de autenticação de usuário, a fim de identificar possíveis ameaças à segurança da informação. AWS IAM O AWS Identity and Access Management (IAM), da plataforma Amazon Web Services, é um serviço que possibilita o gerenciamento de controles de segurança de forma centralizada a diversos recursos, serviços e APIs utilizados na AWS, através de uma interface de gerenciamento com as principais ferramentas da plataforma: o AWS Management Console, para gestão via web; o AWS Command Line Interface, para comandos de administração; e o Query APIs, que utiliza APIs específicas em formato HTTPS. Sendo um mecanismo de autorização, o AWS IAM possibilita o controle flexível sobre o uso de credenciais por diversos usuários, integrando-as às ferramentas de serviço de diretórios mais utilizadas no mercado, como o Active Directory, e a aplicação de recursos de segurança, como autenticação de múltiplos fatores, condições de acesso por lista de IPs ou credenciais temporárias para aplicativos móveis. Na Tabela 1 temos os principais conceitos dentro do ambiente do AWS IAM: Tabela 1. Principais termos do AWS IAM DICA Como boa prática de segurança, o acesso à conta de usuário raiz não deve ser utilizado para tarefas de administração. Assim, é recomendável a criação de um usuário no AWS IAM para o gerenciamento. Os passos a seguir definem a sequência de análise realizada pela ferramenta AWS IAM, conforme sua arquitetura de funcionamento: Uma entidade principal realiza uma solicitação pela interface de gerenciamento web, linha de comando ou API, com informações, como: a operação a ser executada; o recurso sobre o qual a operação terá efeito; as informações sobre o principal (usuário ou aplicação requerente); os dados da sessão, como data, hora, endereço IP, agente HTTP; e os dados do recurso, que auxiliam sua identificação na plataforma AWS – uma tag de instância do AWS EC2, por exemplo; Após reunir essas informações de solicitação, a entidade principal realiza o processo de sua autenticação, seja através de usuário e senha, chaves de acesso ou autenticação multifatorial. A partir da validação da identificação do principal, é verificada a política de autorização para a solicitação enviada, a fim de determinar se a operação contida será permitida ou negada, de acordo com as permissões relacionadas à entidade; Ao ser validada a solicitação pelo processo de autenticação e autorização, a operação definida como um serviço no recurso solicitado (criar, listar, atualizar, excluir) será aprovada na plataforma AWS, que executará a operação no recurso determinado. A Figura 3 mostra a interface de gerenciamento web do AWS IAM. Figura 3. Interface do AWS IAM. Os usuários do IAM são criados dentro da conta raiz da plataforma AWS, e cada um tem sua própria senha ou chave de acesso. Lembramos que um usuário é representado por um principal, que pode estar relacionado a uma pessoa ou aplicativo. Além de criar os usuários manualmente, o AWS IAM pode concebê-los sob o conceito de ―federação‖, com o qual os usuários existentes no sistema de identidade interno de uma corporação, como o Active Directory, podem ser sincronizados como usuários de recursos dentro da ferramenta IAM, estabelecida por relação de confiança por meio do serviço AWS Directory Service. No desenvolvimento de aplicativos móveis ou web, é possível utilizar a federação com provedores de identidade na internet, como o OpenID Connect (OIDC). Para criar um usuário e um grupo de exemplo através do console web do AWS IAM, vamos fazer os seguintes procedimentos: Façamos o login em https://console.aws.amazon.com/iam/ como ―Usuário raiz da conta da AWS‖ com o seu e-mail e senha cadastrados na plataforma; No painel que aparecerá, selecionemos no menu do lado esquerdo da tela a opção ―Usuários‖. Clique no botão de cor azul no topo da tela com a opção ―Adicionar Usuário‖; Em ―Nome de Usuário‖, digitemos ―Administrador‖. Em ―Tipo de acesso‖, vamos marcar a opção ―Acesso ao Console de Gerenciamento AWS‖. Na opção que surgir, em ―Senha do console‖, marquemos a opção ―Senha personalizada‖ e vamos inserir a nova senha da conta a ser criada. Deixemos desmarcada a opção ―Exigir redefinição de senha‖, para que não seja solicitada uma nova senha no próximo login. Cliquemos no botão ―Próximo: Permissões‖; Na página ―Definir permissões‖, vamos deixar selecionada a opção ―Adicionar usuário ao grupo‖ e cliquemos no botão ―Criar um grupo‖. Uma caixa suspensa será exibida com alguns modelos de políticas e a solicitação de um novo nome de grupo. Em ―Nome do grupo‖ vamos digitar ―Administradores‖. Para definir o tipo de autorização para o grupo criado, digitemos no campo ―Filtrar políticas‖ a opção ―AdministratorAccess‖. Na lista que surgir, selecionemos a política denominada ―AdministratorAccess‖ e cliquemos no botão no canto inferior ―Criar um grupo‖; De volta à página ―Adicionar usuário ao grupo‖, selecionemos o usuário a ser criado para o grupo ―Administradores‖. Feito isso, vamos clicar no botão ―Próximo: Tags‖ Em ―Adicionar tags‖, cliquemos no botão ―Próximo: Revisar‖; Na tela seguinte, vamos verificar, em ―Detalhes do usuário‖, se as informações estão corretas. Cliquemos no botão ―Criar usuário‖. Ao voltar para o painel principal e clicar sobre o usuário criado, vemos as informações sobre ele na página ―Resumo‖, como na Figura 4: Figura 4. Resumo das informações do usuário do AWS IAM. Existem situações em que, em vez de criarmos um usuário para acesso como identidade de recursos, podemos atribuir uma identidade do tipo função. A identidade do tipo função do AWS IAM é bem parecida com um recurso de usuário, porém não é associada a uma pessoa de forma exclusiva. Com isso, uma função pode ter permissões atribuídas e ter a identificação através de credenciais temporárias para uma sessão. Quando tratamos das permissões no AWS IAM, elas são aplicadas através das políticas, sob as quais as autorizações são concedidas a um usuário ou grupo, e a política é anexada diretamente a esse tipo de objeto – política baseada em identidade. Os usuários podem, portanto, ser organizados em grupos dentro da ferramenta, a fim de herdarem as permissões atribuídas ao grupo em si, facilitandoo gerenciamento das políticas de autorizações. Dentre as políticas baseadas em identidade, podemos utilizar as principais: 1. Gerenciadas pela Amazon Web Services: são as políticas criadas e administradas pela própria plataforma; 2. Gerenciadas pelo cliente: são as políticas criadas e administradas pelo próprio usuário cliente da plataforma, que pode ser editada através do console de gerenciamento ou na criação de um documento de texto em formato JavaScript Object Notation (JSON) de troca de dados; 3. Políticas em linha: são as políticas anexadas diretamente a um recurso. Para efeito de entendimento da aplicação de políticas no AWS IAM, vamos ver o conteúdo de um arquivo no formato JSON com um modelo de política: { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "dynamodb:*", "Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books" } } Nesse exemplo de política, vemos que a identidade do usuário, seja qual for a política aplicada, somente terá permissões de operações no recurso ―dynamodb‖ (referente ao Amazon DynamoDB) na conta de usuário identificada como ―123456789012‖ da região ―us-east-2‖, na tabela denominada ―Books‖. Na interface de gerenciamento do AWS IAM, no menu esquerdo da página principal, temos o gerenciamento de políticas de permissões. Ao clicar nessa opção, podemos visualizar todas as políticas existentes na lista do lado direito do painel. Para verificar os dados de uma política, basta clicar sobre o nome dela. Vamos clicar, por exemplo, na política atribuída ao usuário criado, Administrador, com o nome ―AdministratorAccess‖. Será exibida a tela de resumo da política, com os respectivos serviços, níveis de acesso e recursos utilizados. Podemos também selecionar a visualização em lista, na opção ―Resumo da política‖ ou em formato de arquivo JSON, através do botão ―{ } JSON‖, e, ainda, visualizar a utilização da política, suas versões e os eventos de acesso, através da aba ―Consultor de acesso‖. Na Figura 5 vemos um exemplo do resumo da política ―AdministratorAccess‖ na tela de gerenciamento do AWS IAM, exibindo as permissões com a visualização em formato JSON: Figura 5. Resumo de política no AWS IAM. AWS Command Line Interface O gerenciamento dos recursos na plataforma Amazon Web Services, pela interface de linha de comando, como sabemos, pode realizar toda a administração dos serviços na infraestrutura em nuvem, por um shell ou console de terminal Linux-macOS-Unix, ou pelo PowerShell ou prompt de comando Windows. Por meio dessa interação, podemos gerenciar todo o contexto de IaaS da AWS e automatizar tarefas de administração por scripts no interpretador de comandos. O AWS Command Line Interface (CLI) foi desenvolvido em uma linguagem de programação multiplataforma. CONTEXTUALIZANDO A ferramenta AWS Command Line Interface foi desenvolvida com a linguagem Python. Para ilustrar a utilização da ferramenta de linha de comando no acesso à AWS, vamos realizar um exemplo de instalação em uma máquina com a distribuição Linux Debian. Realizemos o procedimento a seguir como usuário root na máquina Linux, e instalemos a interface do AWS CLI com o comando apt-get, junto ao pacote dependência denominado ―groff‖: # apt-get install awscli Com a interface instalada, a configuração precisa estar relacionada à autenticação na AWS, utilizando as chaves de acesso. Para isso, precisamos localizar as informações das chaves de acesso, o ID da chave e o segredo, através da interface do AWS Management Console. Vamos executar os passos a seguir para levantar as informações sobre as chaves: Façamos o login em https://console.aws.amazon.com como ―Usuário raiz da conta da AWS‖ com o seu e-mail e senha cadastrados na plataforma; No painel que aparecer, no menu superior próximo ao símbolo de alertas com um ―sino‖, vamos clicar na flecha ao lado do ID do usuário raiz da conta AWS para abrir o menu suspenso, e selecionar ―Minhas credenciais de segurança‖. Será exibida uma mensagem de aviso de acesso, a qual podemos ignorar e fechar; Na página ―Suas credenciais de segurança‖, selecionemos o menu ―Chaves de acesso‖, que são o ID da chave de acesso e a chave de acesso secreta. Em seguida, vamos clicar no botão ―Criar nova chave de acesso‖; Será exibida a janela ―Criar chave de acesso‖, para realizar o download da chave de acesso e armazenar de forma segura o conteúdo. Para isso, vamos clicar no botão ―Fazer download do arquivo de chave‖. As informações contidas nesse arquivo serão necessárias para a configuração da autenticação através da linha de comando do AWS. O arquivo será salvo em formato CSV. Após o procedimento de levantamento das informações da chave de acesso na AWS, podemos executar o comando para configurar a autenticação da ferramenta AWS CLI, com o seguinte comando: # aws configure AWS Access Key ID [None]: XXXXXXXXXXXXXXXXX AWS Secret Access Key [None]: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX Default region name [None]: sa-east-1 Default output format [None]: text Serão solicitadas as seguintes informações a serem preenchidas, conforme o comando anterior: AWS Access Key ID, presente no arquivo CSV; AWS Secret Access Key, também presente no arquivo CSV; Default Region Name (região padrão de autenticação na AWS), na qual vamos utilizar o valor ―sa- east-1‖, que é a região de recursos na América do Sul; e Default output format (formato de saída das informações), na qual vamos utilizar o valor ―text‖. Todas as configurações realizadas são armazenadas, por padrão, em um diretório oculto na pasta base do usuário root, em /root/.aws/, em dois arquivos diferentes: no arquivo ―config‖ (configurações gerais) e no arquivo ―credentials‖ (chaves de acesso). GERENCIAMENTO AWS EC2 Com o intuito de descobrir as imagens disponíveis para a execução de novas instâncias, utilizamos a linha de comando do AWS: # aws ec2 describe-images Podemos visualizar a descrição das instâncias em execução em nossa conta AWS, utilizando o comando: # aws ec2 describe-instances Na Figura 6 vemos um exemplo de saída do comando para a listagem das instâncias virtuais no ambiente Amazon Elastic Compute Cloud (Amazon EC2), em formato JSON, utilizando a opção ―—output‖, para forçar outro tipo de saída, diferente do padrão texto definido nas configurações. Figura 6. Listagem de instâncias pelo AWS CLI. Fonte: Amazon Web Services. Acesso em: 05 dez. 2019. Para a conexão com as instâncias de máquinas do Amazon EC2, precisamos utilizar o par de chaves para autenticação. Através da linha de comando podemos criar o par de chaves, pública e privada, com a seguinte opção: # aws ec2 create-key-pair --key-name minhachave.pem Será gerado o arquivo ―minhachave.pem‖ no diretório atual do usuário na máquina Linux. Para exibir a impressão digital de correspondência entre a chave privada que temos em nossa propriedade e a chave pública armazenada na AWS, executamos o comando: # aws ec2 describe-key-pairs --key-name minhachave.pem Podemos também executar a opção para iniciar uma instância no Amazon EC2, através da linha de comando: # aws ec2 run-instances --image-id ami-a1bf2ecd --instance-type t2.micro --key-name minhachave.pem São opções desse comando: --image-id <id imagem>, que especifica o código da imagem no repositório AWS a ser utilizada. No exemplo, o código corresponde à imagem do S.O. Linux Ubuntu; --instance-type <tipo instância>, que especifica o tipo de instância pay-per- use do EC2. A fim de auxiliar a identificação das instâncias, podemos especificar tags para rotular a área de metadados do recurso de máquina virtual através da linha de comando: # aws ec2 create-tags --resources i-6700411c --tags Key=Nome,Value=MeuServer São opções desse comando: --resources,que especificar o código do recurso que será rotulado com a tag (no exemplo, criando uma identificação para um recurso de instância); --tags, que especifica o conjunto de tags, no formato ―Key,Value‖. Podemos parar a execução de uma instância com a opção ―stop-instances‖, com o comando: # aws ec2 stop-instances --instance-ids i-6700411c São opções desse comando: --instance-ids: código da instância que será parada. Para encerrar uma instância através da linha de comando, de forma definitiva, executamos opção: # aws ec2 terminate-instances --instance-ids i-6700411c É opção do comando: --instance-ids: que é o código da instância que será finalizada. Pela linha de comando AWS, também podemos gerenciar os grupos de segurança para as instâncias. Por exemplo, para criar um grupo de segurança de regras de firewall para um Amazon Virtual Private Cloud (Amazon VPC) específico, podemos executar a opção a seguir: # aws ec2 create-security-group --group-name my-sec-grp --description "My security group" --vpc-id vpc-1a2b3c4d São opções desse comando: --group-name, que especifica o nome do grupo de segurança; --description, que especifica a descrição para o grupo de segurança; --vpc-id, que especifica o ID do VPC correspondente. As informações sobre os grupos de segurança criados podem ser visualizadas através do comando: # aws ec2 describe-security-groups --group-ids <nome do grupo de segurança> É opção do comando: --group-ids, que especifica o ID do grupo de segurança para o VPC. A Figura 7 mostra um exemplo de saída, em formato JSON, para o grupo de segurança criado no exemplo anterior, utilizando o ID do grupo de segurança: Figura 7. Listagem do grupo de segurança pelo AWS CLI. A fim de disponibilizar os serviços TCP/IP que serão permitidos para acesso via mundo externo nas instâncias em execução, podemos adicionar regras para autorizar o acesso às portas específicas, que serão requisitadas nas conexões de entrada. Para isso executamos o do comando a seguir: # aws ec2 authorize-security-group-ingress --group-id sg-993344f2 -- protocol tcp --port 22 --cidr 0.0.0.0/0 São opções desse comando: --group-id, que especifica o ID do grupo de segurança do VPC; --protocol: que especifica o tipo de protocolo (TCP, UDP, ICMP); --port, que especifica a porta do serviço TCP/IP; --cidr, que especifica o intervalo de IPs. Na Figura 8 vemos um exemplo de atribuição de regra de firewall ao grupo de segurança criado para autorizar o acesso, através do serviço de SSH às instâncias para qualquer IP. Figura 8. Listagem de regra de firewall pelo AWS CLI. Para excluir um grupo de segurança, quando ele não estiver associado a nenhum recurso, basta executarmos o comando: # aws ec2 delete-security-group --group-id sg-993344f2 GERENCIAMENTO AWS IAM Através da ferramenta AWS Command Line Interface, podemos realizar o gerenciamento de identidades do AWS IAM. Vamos adicionar um novo usuário com o seguinte comando: # aws iam create-user --user-name UserTeste São opções desse comando: --user-name: especificar o nome do usuário Também podemos criar um novo grupo com o seguinte comando: # aws iam create-group --group-name GrupoTeste É opção do comando: --group-name: especificar o nome do grupo Com isso, podemos inserir um usuário em um grupo do IAM com o comando: # aws iam add-user-to-group --user-name UserTeste --group-name GrupoTeste A fim de checar quais usuários fazem parte de um grupo, podemos executar a opção ―get-group‖, para exibir suas informações. A Figura 9 mostra um exemplo de execução para a visualização das propriedades do grupo criado: Figura 9. Listagem das informações de um grupo do IAM pelo AWS Command Line. Podemos listar as políticas criadas no IAM através do comando: # aws iam list-policies Para filtrar uma política, podemos usar o parâmetro ―query‖, fazendo referência ao nome de uma política. Por exemplo, para listar o ARN da política denominada ―PowerUserAccess‖, com o comando: # aws iam list-policies --query 'Policies[?PolicyName==`PowerUserAccess`].{ARN:Arn}' SINTETIZANDO Vimos, nessa unidade, sobre a segurança no acesso ao ambiente de infraestrutura em nuvem, através da especificação dos mecanismos de controle de segurança da informação, com as principais formas de gerenciamento de recursos computacionais no modelo IaaS. Sua administração pode ser realizada tanto por interface web quanto por APIs em formato web. Todos os tipos de acesso devem ser gerenciados em relação aos pilares da segurança: confidencialidade, integridade e disponibilidade. A definição de uma política de senhas adequada, uma política de restrição de IPs de acesso para APIs, o uso de autenticação multifatorial, e a implantação de aplicações do tipo Cloud Access Broker Security, são formas de melhorar os controles de segurança na nuvem. Sobre a gestão de identidade e acesso, sua implementação vem sendo adotada para garantir a centralização do gerenciamento dos usuários e suas credenciais de login, a fim de otimizar os controles de segurança nesse aspecto e a definição de autorizações. A plataforma da Amazon possui o serviço do AWS Identity Access and Management (AWS IAM) para realizar esse formato de administração, utilizando o conceito de definição de identidades para serviços, usuários e grupos, a fim de facilitar a implementação de permissões de operação dos recursos. Para o gerenciamento dos recursos, como o EC2 e o IAM, é possível acessar uma interface de linha de comando, através da ferramenta Amazon Command Line, com a qual é possível realizar qualquer tipo de gerenciamento da conta na plataforma AWS e seus respectivos serviços.
Compartilhar