בדוח ה-Cloud Security של Verizon 2024: 74% מפרצות הענן כללו Over-Privileged Credentials. לא Zero-Day. לא APT מתוחכם. פשוט IAM Role עם AdministratorAccess שנקבע "כי היה נוח" ב-2019 ולא שונה מאז. Cloud IAM Hygiene הוא ה-Low-Hanging Fruit הכי מוזנח.
עקרונות IAM בסיסיים
- Least Privilege – כל Principal (User, Role, Service) מקבל רק הרשאות שנדרשות לתפקידו הספציפי.
- Just-in-Time Access – Admin Access לא תמידי, אלא מבוקש ומאושר לפרק זמן מוגדר.
- Separation of Duties – לא אותו Principal שמפתח, פורס, ומאשר.
- Regular Access Reviews – רבעוני, מי עדיין צריך מה.
AWS IAM Best Practices
- לא להשתמש ב-Root Account לשום דבר. MFA על Root. אחסון בסייף.
- IAM Roles > IAM Users. Roles משתמשות ב-Temporary Credentials.
- SCPs (Service Control Policies) ב-AWS Organizations – guardrails לכל ה-Accounts.
- IAM Access Analyzer – מוצא Policies שנותנות גישה חיצונית לא מכוונת.
- AWS CloudTrail + GuardDuty לזיהוי API Calls חריגים.
Azure Entra ID Best Practices
- PIM (Privileged Identity Management) – Just-in-Time Elevation לתפקידי Admin.
- Conditional Access Policies – גישה לפי Context, לא רק Username+Password.
- Azure AD Access Reviews – ביקורת גישה אוטומטית רבעונית.
- App Registrations Audit – מי יש לו API Permissions? מה הן עושות?
Service Accounts – הסיכון הנשכח
IAM Roles שמשמשות Services (Lambda, EC2, K8s Pods) לרוב מוגדרות עם הרשאות רחבות "כי יותר קל". Service Account Hygiene: Dedicated Role לכל Service, Least Privilege, Automatic Rotation של Keys.
IAM Audit אחת לרבעון – בדיקת Who has access to What, מי לא השתמש ב-6 חודשים (Inactive Credentials), ו-Which Resources are publicly accessible – מפחיתה ב-60% את Risk Surface של הסביבה.
IAMCloud IdentityLeast PrivilegeAWSEntra ID