Итак, сегодня я хочу поговорить о том что в моменте бесплатно, но может дорого стоить.
Причем “может” в данном случае - вопрос статистики.
Вот так выглядит список пользователей в aws аккаунте, отсортированный по дате создания.
Как видно, один из пользователей, созданный 13 лет назад, три месяца назад использовал свои ключи доступа…
А остальные - нет.
Там, конечно, видно что у многих аккаунтов доступ к веб-консоли отключен… Но ключи доступа, с которыми можно получить доступ - активны. Я специально не стал убирать часть имен пользователей - видно что это технические аккаунты, которые тоже не используются очень давно.
Ну и другая сортировка - по возрасту пароля.
Как видим, они все активны, в том числе и в консоли, далеко не у всех включен mfa, и пароль возрастом 10 лет…
Честно, я верю что если у человека хороший пароль, и он его больше нигде не использовал - то он может быть не скомпрометирован…
Впрочем, это не критично.
Критично то, что мы не знаем - пользователи, которым создали аккаунт 11 лет назад, и которые последний раз логинились 9 лет назад, работают ли они в этой компании все еще? Нужен ли им доступ туда?
Такое возможно, но верится с трудом.
Что здесь может быть плохого, ведь амазон не берет деньги за записи iam.
Да, не берет.
Это бесплатно.
Дороговизна же проявляется, когда кто-то из этих пользователей поделится паролем или ключами с кем-то, кому интересно, и этот кто-то зайдет в гости.
Это даже не вопрос лояльности вашего бышего сотрудника.
Хотя, какая лояльность от сотрудника, который уволился 8 лет назад?
Это вопрос статистики.
126 пользователей, из них всего около 10, пусть 20 активных (а им доступ-то нужен туда вообще?)
итого, 100 потенциальных точек неавторизованного доступа.
Сколько стоит конфиденциальность вашей информации в AWS? Сколько вам будет стоить потеря этой информации? Просто информации.
Потеря настроенной инфраструктуры?
Сколько вам будет стоить времени и денег восстановить эту информацию и настроенные компоненты вашего бизнеса?
Это техника, это люди, и чем больше проходит времени, и чем больше количество людей, тем точнее работает статистика.
Техника ломается, вскрываются уязвимости, люди ошибаются, теряют вещи, флэшки, компьютеры.
Кто-то это может найти и поинтересоваться - а что там такое интересное…
При этом просто обязательное включение mfa может предотвратить 80% атак.
Банальная гигиена информационной безопасности - не пренебрегайте ею.
Так вот, что здесь нужно сделать:
- включить политику смены пароля (раз в три месяца вроде нормально)
- сбросить всем неактивным пользователям ключи
- включить принудительную многофакторную авторизацию
- проверить всех пользователей на предмет “он все еще с нами?”, удалить всех кто нет