Principen ”least privilege” innebär att du endast får precis de rättigheter du behöver för att utföra dina uppgifter. Genom att tidsbegränsa dessa rättigheter och använda verktyg som AWS TEAM kan säkerheten ytterligare förstärkas, risken för missbruk minskas och spårbarheten ökas.
”Least privilege” är en viktig beståndsdel i en säker utvecklingsmiljö och kan minska skadeverkningarna av eller förhindra många attacker. Till exempel kanske du behöver kunna ge tjänster tillgång till en databas, men för det behöver du inte själv ha tillgång till databasen. Att kunna utforma behörigheten granulärt och på lägsta möjliga nivå, är en viktig komponent i alla molnmiljöer. Om någon kommer över din inloggning är möjligheten att göra allvarlig skada begränsad.
Least privilege i tiden
Ofta förbises en viktig aspekt vid design av behörigheter: tiden. Du behöver bara din tilldelade behörighet precis när du utför den särskilda åtgärden. Övrig tid klarar du dig med en lägre behörighet och därmed lägre risk. Kanske oftast bara läsbehörigheter behövs.
Break glass
I AWS kan man åstadkomma detta genom att tilldela flera olika roller till samma person. Av de roller du fått till ditt förfogande väljer du själv vilken roll som är lämplig för den aktuella uppgiften. Rollen med den högre särskilda behörighet kan tidsbegränsas så att du automatiskt loggas ut efter en timme eller kortare.
För situationer när de allra mest privilegierade rollerna behövs, kan ett larm triggas vid inloggningen. På så sätt får berörda vetskap när någon använt sig av rollen, en så kallad ”break glass”-funktion. Förhoppningsvis har de redan meddelats om den planerade åtgärden. I en perfekt miljö behöver aldrig “break glass” användas. I praktiken triggas larmen väldigt ofta och är en orsak till “alert fatigue”.
TEAM – Temporary Elevated Access Management
TEAM är en applikation utvecklad av AWS och tillhandahålls utan kostnad. Det är en lättanvänd lösning som integreras i AWS uppfyller kravet på tidsbegränsad ”least privilege”. Därtill får man kontroll av en andra part och spårbarhet på alla ändringar i molnmiljön.
För att återgå till exemplet där en tjänst behöver ges tillgång till databasen, kan en användare, genom TEAM, begära att få utnyttja en viss roll under en viss tidsperiod. Det kan vara vem som helst inom organisationen, vilket medger stor flexibilitet. Till begäran tillfogas en beskrivning på vad som ska utföras. En utvald grupp har befogenhet att bevilja eller neka begäran, också det med en motivering. Allt som händer under tiden loggas. Granskare kan sedan med enkelhet utläsa allt som företogs under tiden du var inloggad.
Tips för att optimera ”least privilege”:
- Glöm inte bort tidsdimensionen vid design av rättigheter.
- Utnyttja skillnaden mellan roll och person till att skapa flexibilitet.
- ”Break glass” funktioner leder ofta till ”alert fatigue”.
- Öka kontroll och spårbarhet genom verktyg såsom AWS TEAM.