¿Se puede utilizar la Administración de acceso y de identidad (IAM) de Amazon para administrar el acceso al servidor?

Navega tus respuestas
0
El

requisito 8.1.1 de PCI DSS indica:

  

Asigne a todos los usuarios una ID única antes de permitirles acceder a los componentes del sistema o a los datos del titular de la tarjeta.

Utilizando Amazon IAM puedo configurar cuentas individuales para los usuarios para que no tengan que iniciar sesión en la consola de Amazon AWS como la cuenta de root.

Sin embargo, no creo que se pueda usar IAM para administrar las credenciales de Linux y Windows en las instancias dentro de nuestra cuenta de AWS.

¿Tener cuentas de administrador y de administrador en nuestras instancias significa que no podemos cumplir con este requisito utilizando IAM? Si es necesario, podríamos implementar una política que indique que los usuarios no inician sesión en las instancias en vivo y que las cuentas de administrador y de la raíz en estos cuadros solo se usan para alterar las imágenes (AMI) desde las que se crean las instancias.

Sin embargo, como las AMI comparten las credenciales con las instancias creadas a partir de ellas, no podemos mantenerlas en privado.

La instalación de un servidor de Active Directory parece excesiva en esta situación y posiblemente no es confiable debido a la naturaleza transitoria de las instancias de EC2.

    
pregunta SilverlightFox 05.01.2015 - 19:15
fuente

2 respuestas

1
  

Sin embargo, no creo que se pueda usar IAM para administrar las credenciales de Linux y Windows en las instancias dentro de nuestra cuenta de AWS.

Usted puede hacer esto a través de las instancias de OpsWorks para Linux. OpsWorks le permite registrar usuarios IAM con una pila y luego organizar la creación de su cuenta y gestionando su clave SSH pública. También tiene la opción de permitirles administrar su clave SSH pública si desea y controla si tienen privilegios de sudo.

  

¿Se ejecutan cuentas de root y administrador en nuestras instancias?   ¿Significa que no podemos cumplir con este requisito utilizando IAM?

OpsWorks tiene una opción para iniciar instancias sin una clave SSH predeterminada que creo que significa que la única forma de iniciar sesión es a través de uno de los usuarios de IAM. Esto puede dificultar un poco la depuración si ocurre algún problema antes de que se inicie el agente de OpsWorks.

Sin embargo, no soy un experto en PCI DSS, así que no estoy seguro de si hay algún aspecto de cómo OpsWorks gestiona las instancias que impidan el cumplimiento.

    
respondido por el thexacre 06.01.2015 - 11:21
fuente
0

Le pregunté si estaba usando una VPC porque realmente no lo considero muy transitorio. Ciertamente, si desea obtener la certificación PCI, deseará un sistema central de servicios de directorio, ya sea AD o LDAP. Puede aumentar o disminuir rápidamente las instancias, pero está creando subredes y asignando sistemas a esas subredes. Además, en PCI se requiere más o menos la segmentación de la red.

Para responder a su pregunta específica, los inicios de sesión compartidos no son aceptables según 8.1.1. Esto es para cuentas de cualquier tipo en sistemas o aplicaciones dentro de su alcance PCI. A medida que se expone en el documento que vinculó, esto es para fines de auditoría. Si los usuarios no están identificados de forma única, ¿cómo puede determinar quién realizó qué acción en un momento específico?

    
respondido por el theterribletrivium 06.01.2015 - 09:50
fuente

Lea otras preguntas en las etiquetas

¿Mejores prácticas de prueba automatizadas de seguridad del servidor? Bloquear y desbloquear archivos usando una llave USB