Вопрос или проблема
У нас более 50 учетных записей в организации AWS. Мы сознательно разделили рабочие нагрузки (среды) для производства и непроизводственные рабочие нагрузки на отдельных учетных записях. Некоторые критики говорят, что это увеличивает накладные расходы на управление, и нам следует объединить все эти среды в одну учетную запись, а затем использовать теги, IAM политики/роли/VPC и т. д., чтобы разделить различные среды в одной учетной записи AWS. Какова лучшая практика с точки зрения безопасности, учитывая, что наша организация работает в области здравоохранения/научных исследований/биотехнологий.
Лучшая практика безопасности AWS заключается в организации различных рабочих нагрузок в отдельных учетных записях. Это явно включает в себя разделение рабочих нагрузок разработки, тестирования и производства на разные учетные записи.
Преимущества включают возможность применять различные требования к соблюдению норм к различным рабочим нагрузкам (например, производственная среда может быть более защищенной) и тот факт, что учетные записи AWS являются жесткой границей (компрометация учетной записи разработчика не должна влиять на производственную).
AWS Organizations и AWS Control Tower — это 2 сервиса, которые значительно упрощают управление несколькими учетными записями. В сочетании с эффективной автоматизацией действительно не должно быть больших (если таковые имеются) накладных расходов на управление при реализации стратегии с несколькими учетными записями.
Тот факт, что вы находитесь в сфере здравоохранения, не делает вас уникальным; правила IAM и подобное должны оставаться последовательными для всех отраслей.
Безопасность за счет удобства использования приводит к ухудшению безопасности. (Кредит: Avid ♦️)
В вашем случае повышенная безопасность (сохранение их раздельно) достигается за счет увеличения накладных расходов на управление.
Но если вас заставят объединить их, убедитесь, что вы придерживаетесь лучших практик управления идентификацией и доступом (IAM) от AWS, как вы сами предложили:
-
Используйте временные учетные данные.
-
Требуйте многофакторную аутентификацию (MFA).
-
Защитите учетные данные вашего корневого пользователя и не используйте их для повседневных задач.
-
Регулярно меняйте ключи доступа для случаев использования, которые требуют долгосрочных учетных данных.
Как можно найти в документации AWS, такой как статья IAM выше.
Ответ или решение
К вопросу о комбинировании не продакшн и продакшн окружений в Amazon Web Services (AWS) следует подходить с максимальной ответственностью, особенно в контексте работы в области здравоохранения, биологических наук и биотехнологий. Организации, занимающиеся такой чувствительной информацией, как медицинские данные, должны учитывать множество факторов, включая безопасность, соответствие требованиям и возможные последствия компрометации данных.
Проблемные аспекты
Существует несколько критических аргументов, оправдывающих хранение продакшн и не продакшн окружений в отдельных аккаунтах AWS:
-
Безопасность и изоляция: AWS предоставляет отдельные аккаунты в качестве жесткой границы для безопасности. Компрометация не продакшн окружения не должна угрожать продакшн. Подход, при котором АКК, использующие единую учётную запись, роста вероятности того, что ошибки в настройках будут использованы злонамеренно, что может привести к утечке данных.
-
Соблюдение нормативных требований: В здравоохранении существуют строгие нормы и правила, такие как HIPAA, которые требуют от организаций принятия дополнительных мер по защите данных пациентов в продакшн-системах, что менее критично для не продакшн окружений. Это подразумевает, что к окружениям должны применяться разные уровни защиты.
-
Управление доступом: Управление ролями и полисами IAM (Identity and Access Management) становится проще, когда каждое окружение имеет собственную учетную запись. Это позволяет легко применять различные настройки и права доступа для разных команд и проектов.
Другие аспекты, связанные с управлением
Несмотря на вышеупомянутые преимущества, существует мнение, что использование множества аккаунтов может привести к увеличению накладных расходов на управление. Однако с доступными инструментами, такими как AWS Organizations и AWS Control Tower, управление несколькими аккаунтами становится более удобным и автоматизированным, что минимизирует трудозатраты:
-
AWS Organizations позволяет централизованно управлять множеством аккаунтов и интегрировать их в единое структурное дерево, что упрощает управление ресурсами и политиками.
-
AWS Control Tower предоставляет автоматизированные процессы настройки и управления безопасностью для многоаккаунтных сред, помогая вам обеспечить соблюдение стандартов и политик безопасности.
Если придется объединить окружения
Если ваше предприятие все же решит объединить продакшн и не продакшн окружения в один аккаунт, важно соблюдать следующие практики безопасности:
-
Временные учетные данные: Используйте временные учетные данные вместо постоянных, чтобы уменьшить риски несанкционированного доступа.
-
Многофакторная аутентификация (MFA): Обязательно внедрите MFA для всех важных учетных записей, чтобы повысить уровень безопасности.
-
Принцип наименьших привилегий: Убедитесь, что пользователи и сервисы имеют только те разрешения, которые необходимы для выполнения их задач.
-
Безопасность учетной записи root: Защитите учетные данные основной учетной записи и старайтесь не использовать их для повседневной работы.
-
Регулярная ротация ключей доступа: Практикуйте регулярную ротацию ключей доступа для защиты долгосрочных учетных данных.
Заключение
Выбор между объединением или разделением продакшн и не продакшн окружений в AWS должен основываться на тщательном анализе потребностей вашей организации, прогнозах о потенциальных угрозах и соблюдении норм безопасности. Несмотря на возможность увеличения управленческой нагрузки, отдельные аккаунты в большинстве случаев обеспечивают гораздо более высокий уровень безопасности и соответствия требованиям, что критически важно для организаций в области здравоохранения и биотехнологий.