Administrador de credenciales en la nube de confianza - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administrador de credenciales en la nube de confianza

El Trusted Cloud Credential Manager (TCCM) es un componente de la SCCA. Es responsable de la administración de credenciales. Al establecer la TCCM, es importante permitir el acceso de los menos privilegiados a la SCCA. Esto se puede lograr mediante el uso AWS de servicios de administración de identidad y acceso. Un componente adicional del TCCM es una conexión a Virtual Data Center Managed Services (VDMS). Puede utilizar esta conexión según sea necesario para acceder al TCCM y administrar el TCCM Consola de administración de AWS .

El TCCM es una combinación de tecnologías y estándares que rigen el acceso a. AWS El TCCM se considera fundamental para la mayoría de las implementaciones porque controla los permisos de acceso. La función TCCM no pretende imponer requisitos exclusivos de gestión de identidades al proveedor de servicios en la nube (CSP) comercial. La TCCM tampoco prohíbe el uso de la federación CSP del DoD o de soluciones de agentes de identidad de terceros para proporcionar el control de identidad previsto.

Los componentes de la política de TCCM se basan en un entendimiento general que CSPs ofrece un sistema de gestión de identidad y acceso que permite controlar el acceso a los sistemas en la nube. Dichos sistemas pueden incluir los componentes de servicio de la consola de acceso, la API y la interfaz de línea de comandos (CLI) del CSP. En el nivel básico, el TCCM debe bloquear las credenciales que se pueden utilizar para crear redes y otros recursos no autorizados. El TCCM es nombrado por el oficial autorizado (AO) encargado de supervisar los sistemas de TI. Las políticas del TCCM establecen la necesidad de un modelo de acceso con privilegios mínimos. Estas políticas son responsables del suministro y el control de las credenciales de los usuarios privilegiados en la nube comercial. Esto es para mantener la coherencia con la Guía de requisitos de seguridad de la computación en la nube del DoD, que aborda la implementación de políticas, planes y procedimientos para administrar las credenciales de la cuenta del portal. Antes de conectarse a la Red de Sistemas de Información de Defensa (DISN), DISA valida la existencia del Plan de administración de credenciales en la nube (CCMP) como parte del proceso de aprobación de la conexión definido en la Guía del proceso de conexión.

La siguiente tabla contiene los requisitos mínimos para el TCCM. Explica si la LZA aborda cada requisito y cuál Servicios de AWS puede utilizar para cumplirlos.

ID Requisitos de seguridad de TCCM AWS tecnologías Recursos adicionales Cubierto por LZA
2.1.4.1 La TCCM desarrollará y mantendrá un plan de gestión de credenciales en la nube (CCMP) para abordar la implementación de las políticas, los planes y los procedimientos que se aplicarán a la gestión de las credenciales de las cuentas del portal de clientes del propietario de la misión. N/A N/A No está cubierto
2.1.4.2 El TCCM recopilará, auditará y archivará todos los registros de actividad y alertas del Portal del Cliente.

AWS CloudTrail

Amazon CloudWatch Logs

 N/A Cubierto
2.1.4.3 El TCCM se asegurará de que los usuarios privilegiados del DoD que participan en actividades de MCP y BCP compartan las alertas del registro de actividades, las reenvíen o las puedan recuperar.

AWS CloudTrail

CloudWatch Registros

Amazon Simple Notification Service (Amazon SNS)

CloudWatch Registra información

 N/A Cubierto
2.1.4.4 Según sea necesario para el intercambio de información, el TCCM creará cuentas de acceso al repositorio de registros para que los usuarios privilegiados que realicen actividades tanto de MCP como de BCP puedan acceder a los datos del registro de actividades.

AWS CloudTrail

CloudWatch Registros

Amazon SNS

CloudWatch Registra información

 N/A Cubierto
2.1.4.5 El TCCM recuperará y controlará de forma segura las credenciales de las cuentas del portal de clientes antes de conectar la aplicación a la DISN. AWS IAM Identity Center N/A Cubierto
2.1.4.6 El TCCM creará, emitirá y revocará, según sea necesario, las credenciales del portal de clientes menos privilegiados con acceso basado en roles para los administradores de aplicaciones y sistemas propietarios de la misión (es decir, los usuarios con privilegios del DoD).

AWS Identity and Access Management (IAM)

AWS Directory Service for Microsoft Active Directory

 N/A Cubierto

 

Para permitir que el TCCM cumpla con los requisitos, la LZA utiliza el control programático de los recursos a través del servicio IAM. Además, puede combinar la IAM para implementar el inicio de sesión único AWS Managed Microsoft AD en otro directorio. Esto vincula el AWS entorno a la infraestructura local mediante la confianza de Active Directory.  En la LZA, la implementación se implementa con funciones de IAM para un acceso temporal y basado en sesiones. Las funciones de IAM son credenciales efímeras que ayudan a la organización a cumplir los requisitos de TCCM necesarios.

Si bien la LZA implementa el acceso con privilegios mínimos y el acceso programático a corto plazo a AWS los recursos, revise las mejores prácticas de IAM para asegurarse de seguir las pautas de seguridad recomendadas.

Para obtener más información sobre la implementación AWS Managed Microsoft AD, consulte la AWS Managed Microsoft ADsección del taller del Día de Inmersión de Active Directory en AWS.

El modelo de responsabilidad AWS compartida se aplica a la TCCM y a la LZA. La LZA desarrolla los aspectos fundamentales del control de acceso, pero cada organización es responsable de la configuración de sus controles de seguridad.