SURFcumulus
Maak je gebruik van AWS via SURFcumulus?
Dan verwachten we een goede huishouding van je omgeving. Hieronder vind je een aantal maatregelen die wij als contracthouder minimaal van instellingen verwachten.
Als je gebruikt maakt van services in AWS ga je kosten maken. Het is een goed idee om vinger aan de pols te houden bij de ontwikkeling van deze kosten. Hiermee voorkom je dat je aan het einde van de maand wordt geconfronteerd met onverwacht hoge kosten doordat iemand een fout heeft gemaakt of doordat je account is gehackt.
Er zijn in AWS twee mechanismen beschikbaar: budgetten en anomaliedetectie op kosten.
Het is mogelijk om budgetten in te stellen in je account en om alarmen in te stellen bij overschrijding of voorspelde overschrijving van ingestelde budgetten. Hiermee word je geïnformeerd wanneer de kosten een door jou bepaalde drempelwaarde overschrijden of gaan overschrijden. Je kunt actie ondernemen om de overschrijding te beperken of je budget verhogen.
Het is sowieso een goed idee om alert te blijven op de kosten en de mogelijkheden om kosten te verlagen.
Je vindt de mogelijkheid om budget alerts in te stellen in de Billing and Cost Management console in AWS. Omdat SURFcumulus een contract met AWS heeft via een reseller, kan niet iedere instelling bij deze console. Instellingen met een eigen AWS management account kunnen via de Rackspace portal in CloudHealth budgetten instellen.
In de AWS Billing and Cost Management console vind je budgetconfiguratie in de menubalk aan de linkerkant van het scherm:
In CloudHealth is de Budgets functionaliteit te vinden onder het menu item Governance:
De tweede feature voor het bewaken van je gebruik is Cost Anomaly Detection. Dit vind je ook in de AWS Cost Management Console. Als je nog geen anomaliedetectie hebt ingesteld, dan krijg je de aanbeveling om dat te doen:
Het eenvoudigst is om een anomaliemonitor te maken die kijkt naar het (historische) gebruik van AWS services. Het is daarnaast mogelijk om te werken met cost allocation tags, bv. om onverwachte kosten op een project of bij een afdeling te zien.
Een AWS account bevat contactinformatie. Om te beginnen is er een account eigenaar; in het SURFcumulus contract is SURF de account eigenaar. Het SURFcumulus team ontvangt van AWS berichten over belangrijke gebeurtenissen.
Daarnaast is er de mogelijkheid om contactgegevens in te vullen voor Billing, Operations en Security. Wij adviseren om contactgegevens voor Operations en Security in je AWS account(s) op te nemen en regelmatig te actualiseren. Bovendien adviseren we om geen persoonlijke mailboxen te gebruiken, maar 'functionele' mailboxen waarvan de mail altijd wordt gelezen, ook als een individuele medewerker afwezig is.
De contactgegevens kunnen worden beheerd op de Account Settings pagina in de AWS Console:
In AWS kun je met de AWS IAM dienst gebruikers en groepen aanmaken en beheren. Het is ook mogelijk om SAML of web identity federatie te gebruiken. Wij bevelen aan om dat laatste te doen, omdat je dan je identiteitsbeheer in je eigen identity management omgeving kunt doen.
Als je instelling een eigen AWS management account heeft, dan kun je de federatie inrichten in AWS IAM Identity Center. Het is mogelijk om Microsoft Entra ID als identity provider te gebruiken en het is mogelijk om SURFconext als identity provider te gebruiken. Nadat de identity provider is gekoppeld, kun je toegang tot alle AWS accounts onder je management account inrichten in AWS IAM Identity Center. Gebruikers loggen in via de AWS IAM Identity Center portal (SP-initiated SSO).
Als je geen eigen management account hebt, dan kun je federatie instellen binnen AWS IAM. In dat geval loggen gebruikers in via de identity provider (IdP-initiated SSO). De documentatie van Microsoft Entra ID beschrijft hoe je dit doet met Entra ID als identity provider voor AWS single-account toegang. We hebben geen tutorial voor het inrichten met SURFconext als identity provider.
Als AWS IAM principals (al dan niet gefedereerde gebruikers) worden gecompromitteerd, dan kan de impact groot zijn. De aanvallers hebben potentieel toegang tot gevoelige gegevens, of gaan de toegang misbruiken voor criminele doeleiden en kunnen daarbij grote kosten maken. Daarom is het belangrijk dat gebruik wordt gemaakt van MFA voor iedereen die inlogt en die toegang heeft tot gevoelige gegevens of die cloud resources kan aanmaken.
Als je werkt met federated identity management, dan kun je MFA aanzetten in je identity provider. Als je gebruik maakt van AWS IAM users, dan kun je in de AWS IAM console MFA verplicht maken voor gebruikers. Meer informatie is beschikbaar op de pagina Multi-Factor Authentication (MFA) for IAM.
Instellingen die meerdere AWS accounts hebben onder hun eigen management account doen er goed aan om logging te centraliseren op één plek. Je kunt je security team toegang geven tot die plek en in overleg met hen tools voor loganalyse in te richten. Dit is een van de aanbevelingen van AWS voor het opzetten van een veilige multi-account omgeving.
De meeste public cloudleveranciers stellen je in staat om te bepalen waar je je gegevens opslaat en verwerkt. Dat is bij AWS niet anders. Een belangrijke maatregel is om beleidsregels af te spreken over het gebruik van cloudregio's. Onder welke voorwaarden mag er gewerkt worden in regio's buiten Europa? Mag dat dan in alle regio's op alle continenten? Als er overeenstemming is binnen de organisatie, dan kun je in AWS afdwingen dat alleen de door jou gewenste regio's gebruikt kunnen worden.
Als je dit instelt, dan voorkom je dat gegevens worden opgeslagen op plaatsen waar dat ongewenst is. En bovendien beperk je het risico dat hackers op jouw kosten je account kunnen gebruiken in regio's die je zelf niet gebruikt en waar je nooit naar kijkt.
AWS Config, AWS CloudTrail, AWS Security Hub, Amazon Inspector, Amazon Detective zijn enkele AWS diensten die invulling kunnen geven aan de security controls van je instelling. Meer informatie vind je op de pagina Best Practices for Security, Identity, & Compliance. Je kunt ook gebruikmaken van tools van derde partijen om hier invulling aan te geven.
Neem in elk geval de volgende maatregelen:
Heb je vragen, dan kun je natuurlijk ook contact opnemen met het SURFcumulus-team, via surfcumulus@surf.nl.
