Prístupy & identita (IAM): auditovateľnosť a kontrola v infra

IAM je základ bezpečnosti aj prevádzky. Ak nie je jasné kto má aké oprávnenia, na ako dlho a ako sa to kontroluje, infra zostáva neauditovateľná a riziková.

IAM je chrbtica bezpečnosti aj prevádzky. Bez MFA, audit logov a odstránenia zdieľaných prístupov sú zmeny neauditovateľné a incidenty drahšie.

Otázky, ktoré si treba zodpovedať

  • Správa privilegovaných účtov: kto má admin/root, kde sú „break-glass“ účty a ako sa používajú?
  • Lifecycle prístupov: ako vznikajú a zanikajú oprávnenia (joiner/mover/leaver)? Je to viazané na HR/IDP?
  • Least privilege: sú roly a oprávnenia navrhnuté podľa zodpovedností, alebo „všetko pre všetkých“?
  • MFA a silná autentifikácia: je MFA povinné pre privileged roly, VPN, admin konzoly a kritické systémy?
  • Audit a dohľadateľnosť: máme centralizované audit logy (kto čo zmenil, kedy, odkiaľ) a vieme ich nájsť pri incidente?
  • Secrets & certifikáty: kde sú uložené tajomstvá (API keys, tokeny, certifikáty), kto ich rotuje a ako často?
  • Dodávatelia: sú prístupy časovo obmedzené (JIT), s revíziami a separáciou od interných účtov?

Typické riziká v praxi

  • Zdieľané účty a heslá: neexistuje atribúcia zmien a incidenty sa nedajú spätne vysvetliť.
  • Trvalé admin práva: privilegované roly sú „default“, bez schvaľovania a bez expiračného času.
  • Neexistujúce revízie: oprávnenia sa nehýbu roky, aj keď sa mení tím alebo dodávateľ.
  • Secrets v repozitároch: kľúče v kóde alebo v konfigoch bez rotácie a bez vlastníka.
  • Audit logy mimo dosah: logy nie sú centralizované, alebo sa držia príliš krátko na vyšetrovanie.

Najväčší posun často prinesie „minimum štandard“: osobné účty, MFA, oddelené privilegované roly, centralizované audit logy a pravidelné revízie oprávnení.

Súvisiace: