Mejores prácticas para MFA en cuentas root de AWS

5

Me gustaría habilitar la autenticación multifactor en la cuenta raíz de AWS de mi organización, pero no estoy seguro de cuáles son las mejores prácticas para hacerlo.

Ya tenemos cuentas IAM separadas para cada persona que necesita acceso; la mayoría de las cuentas tienen permisos extremadamente limitados, pero muchos de nosotros tenemos acceso total de administrador a través de IAM. Requerir MFA para la cuenta IAM de cada usuario es fácil, ya que todos pueden configurar Google Authenticator o Authy en sus dispositivos personales. Sin embargo, hacer lo mismo con la cuenta de root parece poco inteligente, ya que limitaría el acceso a una sola persona (lo que no es muy seguro para el bus). Un par de ideas que he tenido son:

  1. Habilite MFA y haga que 2 a 3 administradores escaneen el código QR (para la cuenta raíz) al mismo tiempo.
  2. Cree una cuenta Authy compartida que contenga para este propósito y registre la contraseña en algún lugar seguro para que un administrador pueda acceder a ella si es necesario.

¿Hay alguna práctica recomendada para hacer esta u otra opción que me estoy perdiendo?

    
pregunta crgwbr 09.08.2017 - 19:46
fuente

2 respuestas

3

Otra opción que he usado es sincronizar un token de hardware (como los que RSA le venderá) a la cuenta, luego poner el token en una caja fuerte de la compañía. Mientras mantengas la seguridad física de la caja fuerte, el token estará protegido. Será molesto pasar por el proceso de sacar el token de la caja fuerte (debería haber solo unas pocas personas que tengan acceso a él, y un proceso para abrirlo), pero está bien porque no estás usando la raíz. cuenta regularmente, solo para propósitos de recuperación de emergencia.

    
respondido por el Xiong Chiamiov 09.08.2017 - 22:32
fuente
2

Así es como escribí una solución para esto:

El producto Vault de HahsiCorp le permite registrar todos los accesos a cualquier credencial, y admite hashes TOTP de tal manera que le permita leer el valor actual pero no la clave secreta. Para usar el acceso de root, obtenga el token actual de Vault.

Para asegurarte de no perder el acceso, haz buenas copias de seguridad. Para asegurarse de que sus copias de seguridad no se vean comprometidas, divida el descifrado maestro contra la cantidad adecuada de personas en su organización y cifre eso en claves PGP en el token de hardware.

De esta manera, mientras se ejecute una instancia de Vault, cualquier persona autorizada puede usar las credenciales de raíz y sabrá quién lo hizo. En realidad, obtener el secreto de la MFA raíz requeriría una colusión entre varias personas.

    
respondido por el Jeff Ferland 09.08.2017 - 21:19
fuente

Lea otras preguntas en las etiquetas