IaaS Security: Седем мерки за по-добра сигурност в облака

Anonim

Неправилно конфигурираните облачни системи са една от най-честите причини за изтичане на данни. Например през юли 2019 г., когато американската банка Capital One катастрофира, хакер успя да получи информация за 100 милиона заявления и сметки за кредитни карти. Това се дължи на неправилно конфигурирана защитна стена на уеб приложения с отворен код (WAF), използвана от доставчика на финансови услуги за операциите, хоствани в Amazon Web Services (AWS).

Nicht die Cloud-Plattform selbst, sondern der Umgang mit den verfügbaren Security-Tools stellt das größte Risiko beim IaaS-Einsatz dar.
Не самата облачна платформа, но работата с наличните инструменти за сигурност представлява най-големият риск при внедряването на IaaS.
Снимка: chiqui - shutterstock.com

Защитната стена е разрешена поради неправилни настройки да изброява всички файлове във всеки пакет данни за AWS на доставчика на финансови услуги и да чете съдържанието на файла. Според блога на Krebs On Security, злонамерената конфигурация позволи на атакуващия да принуди защитната стена да опита отново към централен бек-енд ресурс в AWS. Този ресурс е отговорен за предаването на временна информация на облачен сървър. Тази информация включва и актуални идентификационни данни, изпратени от служба за сигурност за достъп до всеки ресурс в облака, до който сървърът има достъп.

spoods.de

В инцидента са участвали приблизително 100 милиона граждани на САЩ, като са откраднати 140 000 номера за социално осигуряване и 80 000 номера на банкови сметки. Като цяло, щетата на Capital One, според информацията на американския новинарски канал CNBC, може да възлиза на 150 милиона долара.

Проблемът вероятно ще се влоши

Примерът показва потенциал за заплаха от лошо конфигурирани облачни услуги. Но какъв е действителният риск?

показ

Повече успех със сигурни данни

Mehr Erfolg mit sicheren Daten - Foto: Billion Photos - shutterstock.com

Съвременната защита на данните помага за подобряване на бизнес процесите, оптимизиране на разходите и опростяване на администрацията.

Регистрирайте се сега!

Анализаторите на Gartner изчисляват, че до 2022 г. поне 95 процента от всички инциденти в сигурността в облака се дължат на неправилно конфигуриране и неправилно управление на клиентите. Предизвикателството не е сигурността на самия облак, а в почти всички случаи потребителят, а не доставчикът на облак, не успява да управлява корпоративните контроли за защита на данните. CIO не трябва да питат, според Gartner, „Колорът е безопасен?“ но "Използваме ли облака по сигурен начин?"

Проблемът с конфигурацията обаче не възниква във вакуум. Има няколко фактора, които играят роля за възникването и влошаването на ситуацията:

  • Погрешни схващания и погрешни схващания: Често се приема, че доставчикът трябва да защити облачната среда. Това обаче е само частично вярно, като например разпадането на отговорностите в AWSA възлагането на отговорности в AWS. Доставчиците на инфраструктура като услуга (IaaS) като Amazon, Microsoft и Google трябва да бъдат загрижени за физическата сигурност на центровете за данни и сървърния хардуер, на който работят виртуалните машини (VM). Клиентът е длъжен сам да хеджира виртуалните машини и приложения. Облачните доставчици предоставят услуги и инструменти за сигурност за натоварването на потребителите, но администраторът на фирмата потребител трябва да приложи необходимите мерки за защита. Въпреки всички защитни мерки, предприети от доставчика, клиентът трябва сам да обезпечи собствените си мрежи, потребители и приложения.

  • Възприятието не отговаря на реалността: много течове в IaaS среди не се вписват в класическия образ на инфилтрация на зловреден софтуер. Това е проучване на McAfee от McAfee (PDF) от септември 2019 г. сред 1000 ИТ мениджъри в единадесет държави. По този начин повечето инциденти са случайни атаки срещу данни, които са незащитени в облачната среда. В същото време производителят на сигурност анализира анонимни данни за събитията на своите клиенти в облака. Имаше силно несъответствие между броя на случаите на неправилна конфигурация, за които потребителите на IaaS са наясно, и действителната степен. Средно анкетираните съобщават за 37 такива инцидента на месец. Според анализа на данните на McAfee, инцидентите възлизат на 3 500 на месец. Съответно 99 процента от грешките в конфигурацията няма да бъдат забелязани.

  • Множество инструменти за намиране и използване на неправилно конфигурирани облачни услуги: Отчетът за интернет заплахата на Symantec 2019 (PDF) видя, че кофите AWS-S3 за 2018 г. се превръщат в ахилесовата пета за бизнеса. Над 70 милиона записа бяха откраднати или публикувани чрез неправилно конфигурирани случаи на облачно съхранение. Потенциалните атакуващи имат широк набор от инструменти, като S3Scanner, за да им помогнат да намерят неправилно конфигурирани облачни ресурси в Интернет. За да затворят този отворен фланг, компаниите трябва да защитят адекватно своите данни, например, използвайки ръководството за сигурност S3 от Amazon.

  • Все по-сложни IT среди: Според McAfee два фактора допълнително затрудняват проблема с конфигурацията. От една страна, все повече компании въвеждат многообластни среди. От друга страна, прегледът на всички използвани облачни услуги често липсва. В калифорнийското проучване 76 процента от компаниите заявиха, че са внедрили мулти-облачна среда. Според McAfee обаче при проверка на клиентските данни 92 процента всъщност използват мулти-облак.

Въпреки че много облачните среди предлагат някои предимства, те могат да бъдат сложни за управление, контрол и контрол. Директорът по маркетинг на продукти McAfee, Дан Флахърти, заяви, че екипите по сигурността, работещи за осигуряване на данни на IaaS платформите, постоянно намират грешки и уплътнения. „Те също така нямат начин автоматично да следят и коригират неправилни настройки във всички облачни услуги“, казва той.

Поради острата конкуренция на нарастващия пазар на IaaS, Amazon, Google и Microsoft непрекъснато добавят нови функции към своите предложения. „Само, AWS стартира около 1800 нови функции през 2019 г. За сравнение, през първата година след старта услугата беше едва 28“, казва Джон Йео, вицепрезидент на Research, Alliance Security Alliance, срещу сестринското издание CSO на COMPUTERWOCHE. Служителите по сигурността трудно се съобразяват с високите темпове на нови опции и корекции. Това от своя страна може да доведе до грешни конфигурации. Според Йео, в сложна мулти облачна среда организациите се нуждаят от експерт за всяка платформа или услуга, за да се уверят, че са предприети правилните мерки за сигурност.

Други разработки в облака, като без сървърни приложения и архитектури, натоварвания и услуги в контейнери Kubernetes и повече интерфейси (API), които свързват облачни услуги, също увеличават риска от неправилни настройки. Тук е необходимо постоянно да се следи и коригира правата за достъп. „Потребителите тепърва започват да разбират опасностите от тези нови облачни технологии и тенденции“, каза Баладжи Парими, изпълнителен директор на CloudKnox Security, CSO. Твърде често остарелите методи за защита със статични роли и права на достъп се прилагат към новите технологии.

Седем мерки за сигурност за облака

За да се справят със споменатите проблеми, експертите препоръчват следните мерки:

1. Изяснете отговорностите

Софтуерът като доставчик на услуги (SaaS) гарантира, че самите приложения, както и предаваните и съхранявани данни са защитени. При IaaS е различно. Например, потребителите на AWS Elastic Compute Cloud (EC2), Amazon Elastic Block Store (EBS) и Amazon Virtual Private Cloud (VPC) поемат пълна отговорност. Освен всичко друго, те трябва да се грижат за конфигурацията на операционната система, администрирането на приложенията и сигурността на данните.

За разлика от тях Amazon управлява операционната система и приложенията на S3. Потребителите са отговорни за управлението на данните, контрола на достъпа и политиките за идентичност. Amazon предоставя инструментите за криптиране на данните за S3. Въпреки това, потребителят трябва да защити данните, когато те се прехвърлят към или напуснат сървъра.

Следователно е важно да се определи точно кой е отговорен за всеки отделен контрол на сигурността в облака с доставчика на IaaS.

2. Проверете достъпа

Според проучвания на екипа на Cloud Security Intelligence (CSI) от Redlock (понастоящем част от Palo Alto Networks) през май 2018 г., над половината от всички компании по невнимание са направили публично достъпни поне една услуга за съхранение в облак, като AWS S3.

Като цяло само интернет балансиращите устройства и бастионните хостове трябва да бъдат обществено достъпни от Интернет. Много администратори на сървъри случайно разрешават глобални разрешения, като използват порта 0.0.0.0/0 в обществените подмрежи. Това поддържа връзката отворена и позволява всяка машина да се свърже.

Друга често срещана грешка е да се позволи на Secure Shell (SSH) връзки директно от Интернет. Това позволява на всеки, който открие местоположението на сървъра, да заобиколи защитната стена и да получи достъп до данните директно. През 2019 г. изследователи от Palo Alto Networks потърсиха незащитени услуги в публичния облак. От уязвимите служби 32 процента са имали отворени SSH услуги, според доклада. Докато SSH протоколът е един от най-безопасните, излагането на тази услуга на целия Интернет без защита все още е твърде рисковано, твърдят изследователите.

Големите облачни доставчици предлагат инструменти за идентичност и контрол на достъпа, които администраторите трябва да използват. Това дава на фирмите представа кой има достъп до какви данни. При създаването на политиките трябва да се зададе абсолютният минимум привилегии . Допълнителни права следва да се предоставят за ограничено време, само ако е необходимо. Групите за сигурност, които отделно контролират трафика за един или повече инстанции, трябва да бъдат конфигурирани възможно най-точно и плътно .

3. Защитете данните

Шифроването е друга важна мярка за защита на данните в облака. Когато дойде, компаниите не трябва да се отказват от контрол върху ключовете за криптиране . Въпреки че е възможно да се предостави на доставчиците на услуги достъп до ключовете, отговорността за данните остава на самата компания.

Компаниите трябва да използват инструментите за криптиране и услугите за управление на доставчиците във всеки случай, защото те предоставят допълнително резервно резервно копие в случай на спешност. Дори конфигурациите на защитата да се провалят и данните попаднат в грешни ръце, те са безполезно криптирани за крадците.

4. Защитени данни за достъп

Инцидент с идентичност и мениджър на пароли OneLogin 2017 показа, че ключовете за достъп до AWS могат да се появят по невнимание на публични уеб страници, хранилища на изходния код, незащитени табла за управление на Kubernetes и други форуми. Ключовете трябва да се третират като изключително критична информация и е важно да се сенсибилизира разработчиците .

Фирмите трябва да създават уникални ключове за всяка външна услуга и да ограничават достъпа, като използват принципа на най-малко привилегии. Ключовете не трябва да имат широкообхватни разрешения. Ролите за идентичност и управление на достъпа (IAM) са назначени, на които са присвоени конкретни привилегии, като например заявки за API.

Ключовете трябва да се обменят редовно, за да се предотврати нападателите да проникнат в облачни среди като привилегировани потребители със прихващани ключове.

Потребителският акаунт на root трябва да се използва само за специални задачи . Той не трябва да се използва като администраторски акаунт. Използвайте root потребител, за да създадете нов потребител с присвоени привилегии. Основният потребителски акаунт трябва да бъде разделен например чрез многофакторна автентификация (MFA) и да се използва само за конкретни задачи за управление на акаунти и услуги. За всичко останало потребителите трябва да бъдат снабдени с подходящи разрешения. Неизползваните акаунти трябва да бъдат изключени .

5. Хигиената на сигурността остава важна

Облачните среди трябва да бъдат защитени от координирано разполагане на множество мерки за сигурност ( отбрана в дълбочина ). Ако даден контролер се повреди, други функции за защита могат да влязат в сила и да продължат да защитават приложението, мрежата и данните.

Многофакторното удостоверяване осигурява друг слой защита над двойката име-парола, което затруднява атаките на нападателите. MFA трябва да се използва при достъп до конзоли за управление, табла за управление и привилегировани акаунти.

6. Подобряване на видимостта

Големите доставчици на облаци предлагат различни видове инструменти за регистриране. С регистрирането на сигурността и наблюдението неоторизиран достъп и други проблеми могат да бъдат видими. Например, Amazon предлага CloudTrail за тестване на AWS среди. Когато е включен, той записва всички AWS API обаждания, включително идентичността на обаждащия се и IP адрес на източника, времето на заявката, параметрите на заявката и елементите на отговор, които AWS услугата върна. Той също така позволява проследяване на персонализиране, управление на ресурсите, анализ на сигурността и одити за съответствие.

7. "Shift наляво" в сигурността

„Shift наляво“ означава да включите определени действия по-рано в един процес. В областта на сигурността се отнася до тенденцията за разглеждане на проблемите със сигурността от самото начало в разработката, а не непосредствено преди приключването. „Бизнесът трябва не само да следи какво се случва в техните IaaS платформи, но и да проверява целия код, предназначен за платформата, преди да излезе на живо“, казва Flaherty на McAfee. Shift Left може да идентифицира и елиминира потенциални неправилни конфигурации, преди да станат проблем . Инструментите за сигурност, които се интегрират с Jenkins, Kubernetes и др., Помагат за автоматизирането на отстраняването на проблеми и корекциите.

За Сам Бисби, CSO от доставчика на облачна сигурност Threat Stack, самото Shift Left не е достатъчно. Също така е важно да проверите вече работещите натоварвания за състояние на съответствие . Кодът, който веднъж се тества и използва, вероятно ще отговаря на указанията в даден момент. Но ако натоварванията останат в продуктивна работа в продължение на месеци или години, могат да се появят нови уязвимости, които увеличават риска. Според защитата на Bisbee означава също непрекъснато наблюдение.

Видимост преди контрол

Като основна мярка за сигурност предприятията трябва да познават и разбират пълната си инфраструктура, включително всички услуги, работещи на нея, според Бисби. За него сигурността означава преди всичко видимост, а не контрол. Въпреки че това не е лесно в сложни многообластни среди, това го прави по-лесно за служителите по сигурността. „По-лесно е да разбереш как нещо работи и след това да видиш промени, отколкото постоянно да оправяш нови дупки“, казва Бисби. Заплахи като неправилни конфигурации бяха по-лесни за откриване и активно разрешаване.