Sophos 使用 AWS IAM Identity Center 簡化和集中 AWS 帳戶管理

是一家雲端原生資訊技術安全公司，可在混合雲端環境中提供全年無休的威脅保護、監控和回應服務，使用 Amazon Web Services (AWS) 迅速發展。其旅程的下一步是簡化帳戶開設和集中帳戶管理。過去，Sophos 為每個帳戶使用聯合身分來授予 AWS 的存取權限。這使 Sophos 能夠簡單安全地管理 AWS 帳戶存取，但該公司希望以更簡單、更可擴展的方式來管理越來越多 AWS 帳戶的存取權限。同時，Sophos 需要對新的 AWS 帳戶設定、身分和存取管理角色、許可和臨時使用者憑證保持精細的存取權限控制。

為了簡化和集中 AWS 帳戶管理，並在指派使用者角色和許可時獲得更靈活的選項，Sophos 實作了 AWS IAM Identity Center (AWS Single Sign-On 的後繼者)。IAM Identity Center 是一項服務，可輕鬆集中管理對多個 AWS 帳戶和商業應用程式的存取權限。Sophos 不會為每個帳戶設定聯合身分，而是透過 IAM Identity Center 一次性設定聯合身分，以管理多個 AWS 帳戶的存取，這大幅簡化了新帳戶的開設流程，並以有限的權限指派個別角色。Sophos 現在能夠從 IAM Identity Center 主控台或命令列介面集中管理帳戶存取，Sophos 不再需要依賴第三方擴充功能將臨時憑證指派給開發人員。Sophos 首席雲端架構師 Guy Davies 表示：「我們的員工對 IAM Identity Center 的外觀和風格非常滿意。而且帳戶建立時間已經減少了，因為大多數流程現在都是自動化的。」

Sophos 成立於 1985 年，如今它的產品幫助 150 多個國家/地區的 40 多萬個組織和 1 億多個使用者免受進階網路威脅。在使用 IAM Identity Center 之前，Sophos 為每個帳戶使用聯合身分來安全地管理其 250 個 AWS 帳戶，這些帳戶可由 1,500 位內部使用者存取。AWS 帳戶的開設、管理和變更過程非常耗時，涉及資訊技術和雲端開發團隊的投入。Sophos 一直在尋找方法，以所需的敏捷性更快地擴展。

Sophos 已使用 AWS 服務，包括 AWS Organizations，這項服務可協助公司在擴展其 AWS 資源時集中管理和控管 AWS 環境。此外，Sophos 希望集中管理其 AWS 帳戶，並避免在開設新帳戶和變更角色許可時採取額外的步驟。Sophos 擁有 500 多個用於控制帳戶存取的 Azure Active Directory 群組。因此，在 2019 年，當 IAM Identity Center 開始支援跨網域身分管理規範的系統時，Sophos 找到了簡化帳戶開設和大規模管理存取的解決方案。它現在可以將其現有的 Azure Active Directory 群組同步到 AWS。Davies 表示：「我們擁有自己建立解決方案的技能，但我們也有 1,500 名熟練掌握 AWS 的人員。從 AWS 環境開始，我們可以更輕鬆地完成重要工作。」

Sophos 想要繼續使用其現有的身分識別服務供應商 (包括 Azure Active Directory、企業身分識別服務)，以及 Jira 驗證和 YubiKey 硬體驗證裝置。這些身分識別工具和 IAM Identity Center 緊密協同運作，實現安全的多重要素驗證。在執行概念驗證並收到正面的內部意見回饋之後，Sophos 繼續開展向 IAM Identity Center 的轉型工作。Sophos 在 2020 年 9 月的幾週內完成了設定，而在 10 月的第一週，Sophos 要求 1,500 位內部使用者在月底前轉型至 IAM Identity Center。Sophos 發現 IAM Identity Center 最初很快都被接受了，隨後一些使用者的轉型速度較慢，但反應普遍積極。Davies 說：「我認為我們沒有收到任何有關 IAM Identity Center 的負面意見回饋。對於會影響約 1,500 人日常工作流程的變化來說，這是前所未有的。」

轉型至 IAM Identity Center 大幅簡化了 Sophos 團隊 AWS 帳戶管理工作的各個層面，將新 AWS 帳戶開設所需的時間從數天縮短到不到 1 天，並可在承包商更換時幾乎立即撤銷 AWS 帳戶存取權限。在過去，撤銷使用者的存取權限需要仔細檢查控制個別帳戶的存取權限的所有個別 Azure Active Directory 群組，以完全撤銷對每個帳戶的存取權限，然後等待 Azure Active Directory 同步。這可能需要長達一個小時。建立兩個 Azure Active Directory 群組 (一個包含所有個別使用者並授與 IAM Identity Center 主控台的存取權，另一個透過系統進行跨網域身分管理同步並授予 AWS 帳戶和許可的存取權限) 之後，SOPHOS 現在只需將使用者拉出 IAM 身分中心群組，即可立即撤銷存取權限，而無需等待同步。整體而言，開發人員已經節省了數百小時的 AWS 帳戶開設時間，而且不再需要資訊技術團隊來執行 AWS 帳戶開設。這降低了資源成本，並使 Sophos 能夠以更高的靈活性進行擴展。

使用 IAM Identity Center 時，Sophos 還體驗了一項重要的安全優勢：現在可以為使用者提供建立臨時登入資料以存取 AWS 資源的選項。當不再需要憑證時，Sophos 必再輪換憑證或撤銷憑證。IAM Identity Center 也可讓帳戶管理員從一個集中位置變更許可，讓他們靈活地快速調整角色許可。Davies 解釋說：「現在，我們可以更精確地使用指派的許可，因為可以根據需要建立任意數量的許可集，而不會造成麻煩。我們可以縮小人們對 AWS 帳戶的存取權限範圍，從而降低攻擊面。」

對於 Sophos 而言，實作 IAM Identity Center 讓 AWS 帳戶管理速度更快、更簡化，讓開發人員可以減少等待其他團隊的時間，並有更多時間專注於令人振奮的創新。Sophos 還計劃使用 IAM Identity Center API 建立更多自動化功能，並在未來進一步加速 AWS 帳戶開設和存取流程。例如，它計劃自動化佈建帳戶存取權限的方式，如果有人在正常工作時間之後提出請求，則非常有用。

Davies 表示：「這正是我們希望做的事情，這樣我們就可以為 AWS 帳戶提供更精細且動態的權限管理方法。使用 IAM Identity Center，這一切都非常可能實現。」