Gestionnaire d'informations d'identification cloud fiable - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestionnaire d'informations d'identification cloud fiable

Le Trusted Cloud Credential Manager (TCCM) est un composant du SCCA. Il est responsable de la gestion des accréditations. Lors de la mise en place du TCCM, il est important d'autoriser l'accès au SCCA avec le moindre privilège. Cela peut être réalisé en utilisant des services de gestion des AWS identités et des accès. Un composant supplémentaire du TCCM est une connexion aux Virtual Data Center Managed Services (VDMS). Vous pouvez utiliser cette connexion selon vos besoins pour accéder au TCCM AWS Management Console afin de gérer le TCCM.

Le TCCM est une combinaison de technologies et de normes qui régissent l'accès à AWS. Le TCCM est considéré comme essentiel pour la plupart des implémentations car il contrôle les autorisations d'accès. La fonction TCCM n'est pas destinée à imposer des exigences uniques en matière de gestion des identités au fournisseur de services cloud (CSP) commercial. Le TCCM n'interdit pas non plus l'utilisation de la fédération CSP du DoD ou de solutions de courtage d'identité tierces pour fournir le contrôle d'identité prévu.

Les composants de la politique TCCM sont basés sur une compréhension générale qui CSPs offre un système de gestion des identités et des accès permettant de contrôler l'accès aux systèmes cloud. Ces systèmes peuvent inclure la console d'accès, l'API et les composants de service de l'interface de ligne de commande (CLI) du CSP. Au niveau de base, le TCCM doit verrouiller les informations d'identification qui peuvent être utilisées pour créer des réseaux et d'autres ressources non autorisés. Le TCCM est nommé par le responsable autorisé (AO) chargé de superviser les systèmes informatiques. Les politiques du TCCM établissent la nécessité d'un modèle d'accès avec le moindre privilège. Ces politiques sont responsables de la fourniture et du contrôle des informations d'identification des utilisateurs privilégiés dans le cloud commercial. Ceci afin de rester en conformité avec le guide des exigences de sécurité du DoD en matière de cloud computing, qui traite de la mise en œuvre de politiques, de plans et de procédures pour gérer les informations d'identification de votre compte de portail. Avant la connexion au Defense Information Systems Network (DISN), DISA valide l'existence du Cloud Credential Management Plan (CCMP) dans le cadre du processus d'approbation de connexion défini dans le Guide du processus de connexion.

Le tableau suivant contient les exigences minimales pour le TCCM. Il explique si le LZA répond à chaque exigence et lequel Services AWS vous pouvez utiliser pour répondre à ces exigences.

ID Exigences de sécurité du TCCM AWS technologies Ressources supplémentaires Couvert par LZA
2.1.4.1 Le TCCM élaborera et tiendra à jour un plan de gestion des informations d'identification dans le cloud (CCMP) pour aborder la mise en œuvre des politiques, des plans et des procédures qui seront appliqués à la gestion des informations d'identification des comptes du portail client du propriétaire de la mission. N/A N/A Non couvert
2.1.4.2 Le TCCM collectera, auditera et archivera tous les journaux d'activité et alertes du portail client.

AWS CloudTrail

Amazon CloudWatch Logs

 N/A Couvert
2.1.4.3 Le TCCM doit s'assurer que les alertes du journal d'activité sont partagées, transmises ou récupérables par les utilisateurs privilégiés du DoD engagés dans des activités MCP et BCP.

AWS CloudTrail

CloudWatch Journaux

Amazon Simple Notification Service (Amazon SNS)

CloudWatch Informations sur les journaux

 N/A Couvert
2.1.4.4 Le TCCM doit, si nécessaire pour le partage d'informations, créer des comptes d'accès au référentiel de journaux pour l'accès aux données du journal d'activité par les utilisateurs privilégiés effectuant à la fois des activités MCP et BCP.

AWS CloudTrail

CloudWatch Journaux

Amazon SNS

CloudWatch Informations sur les journaux

 N/A Couvert
2.1.4.5 Le TCCM doit récupérer et contrôler de manière sécurisée les informations d'identification du compte du portail client avant la connectivité de l'application de mission au DISN. AWS IAM Identity Center N/A Couvert
2.1.4.6 Le TCCM créera, délivrera et révoquera, si nécessaire, les informations d'identification du portail client le moins privilégié basées sur les rôles aux administrateurs des applications et du système du propriétaire de la mission (c'est-à-dire les utilisateurs privilégiés du DoD).

Gestion des identités et des accès AWS (IAM)

AWS Directory Service for Microsoft Active Directory

 N/A Couvert

 

Afin de permettre au TCCM de répondre aux exigences, le LZA utilise le contrôle programmatique des ressources via le service IAM. Vous pouvez également associer IAM à IAM AWS Managed Microsoft AD pour implémenter l'authentification unique dans un autre annuaire. Cela lie votre AWS environnement à votre infrastructure sur site avec des approbations Active Directory.  Dans le LZA, l'implémentation est déployée avec des rôles IAM pour un accès temporaire basé sur les sessions. Les rôles IAM sont des informations d'identification de courte durée qui aident votre organisation à répondre aux exigences TCCM nécessaires.

Bien que la LZA mette en œuvre l'accès à moindre privilège et un accès programmatique à court terme aux AWS ressources, passez en revue les meilleures pratiques en matière d'IAM pour vous assurer que vous suivez les directives de sécurité recommandées.

Pour plus d'informations sur la mise en œuvre AWS Managed Microsoft AD, consultez la AWS Managed Microsoft ADsection de l'atelier Active Directory on AWS Immersion Day.

Le modèle de responsabilitéAWS partagée s'applique au TCCM et au LZA. La LZA définit les aspects fondamentaux du contrôle d'accès, mais chaque organisation est responsable de la configuration de ses contrôles de sécurité.