Неправильно настроенный брандмауэр веб-приложений. Общедоступная и незащищенная облачная база данных. Удостоверение пользователя с избыточными привилегиями. Слабый контроль доступа к контейнерам. Неизменные учетные данные по умолчанию.
Это лишь некоторые из многочисленных недочетов и ошибок в конфигурации, которые злоумышленники могут использовать для взлома вашей облачной среды, захвата учетных записей пользователей, кражи данных и многого другого. Кроме того, неправильно сконфигурированные облачные ресурсы ставят вашу организацию в невыгодное положение с точки зрения соблюдения нормативных требований, а значит, могут привести к дорогостоящим штрафам, пеням и судебным разбирательствам.
Казалось бы, в вакууме можно легко исправить большинство ошибок в конфигурации облака. Конечно, мы все согласны с тем, что оставлять хранилище Amazon Web Services (AWS) Simple Storage Service (S3) доступным для всех желающих в Интернете – это нехорошо. Тем не менее, согласно отчету «Tenable Cloud Risk Report 2024», основанному на анализе миллионов облачных ресурсов, просканированных с помощью платформы Tenable Cloud Security, 74 % организаций имеют открытые облачные хранилища.
На самом деле неправильная конфигурация облачных вычислений – явление распространенное. Более того, неправильная конфигурация и неадекватный контроль изменений занимают первое место в отчете Cloud Security Alliance «Top Threats to Cloud Computing 2024». Учитывая постоянный доступ к сети и бесконечную емкость «облака», неправильная конфигурация может иметь широкомасштабные последствия для всей организации», – говорится в отчете CSA.
Почему даже крупные транснациональные корпорации, располагающие огромными ресурсами и штатом высококлассных специалистов по ИТ, кибербезопасности и соблюдению нормативных требований, как правило, не могут правильно настроить свои облачные среды?
В двух словах: Поскольку облачные среды имеют огромное количество подвижных и динамично изменяющихся составляющих, управление конфигурациями становится сложной задачей, если у вас нет соответствующих процессов и инструментов.
Вот пять лучших методов, которые вы можете немедленно применить для защиты облачных конфигураций.
1 – Централизуйте и автоматизируйте управление конфигурацией вашей многооблачной среды
Если ваша организация похожа на большинство других, она использует несколько поставщиков услуг безопасности облачных сред (CSP) – каждый со своими настройками конфигурации и своей моделью распределения ответственности за выполнение задач безопасности между клиентами.
Именно поэтому вам необходима централизованная платформа защиты приложений в облаке (CNAPP), не зависящая от производителя, с мощным компонентом управления безопасностью в облаке (CSPM).
С помощью инструментов CSPM вы сможете централизованно укреплять конфигурации в своей многооблачной среде, последовательно и непрерывно внедряя, контролируя и применяя политики безопасности в таких областях, как контроль доступа и шифрование данных.
Без автоматизированной централизованной системы у вас не будет целостного и всеобъемлющего представления о конфигурациях во всех облаках, и ваша организация будет подвергаться повышенному риску кибератак.
CSPM позволяет непрерывно сканировать все облачные активы и ресурсы и получать беспрепятственный обзор всех обнаруженных неправильных конфигураций. Затем вы сможете расставить приоритеты и задокументировать их устранение в отчетах о соответствии для ваших руководителей, аудиторов и регулирующих органов.
2 – Реализуйте доступ с наименьшими привилегиями в многооблачной среде
Идентификаторы пользователей и машин с чрезмерными привилегиями представляют собой серьезный риск в облачных средах, поскольку в случае взлома злоумышленники могут воспользоваться этими правами для более глубокого проникновения в вашу сеть. «Первоначальные попытки злоумышленников получить доступ к облачным ресурсам часто направлены на учетные данные пользователей», – отмечает Агентство кибербезопасности и защиты инфраструктуры США (CISA) в своей публикации „Используйте безопасные методы управления идентификацией и доступом в облаке“.
Таким образом, ваша CNAPP должна иметь комплексный компонент управления правами на облачную инфраструктуру (CIEM) с гранулированными возможностями управления идентификацией и доступом (IAM). Это позволит вам проводить аудит идентификационных данных в нескольких облаках и убедиться, что они имеют минимальные права доступа и возможности, которые им необходимы. В этом и заключается концепция наименьших привилегий.
Главным образом, вам необходимо постоянно обнаруживать все человеческие и машинные идентификаторы в вашей облачной инфраструктуре, понимать объем их доступа к облачным ресурсам и разрешений, оценивать уровень риска идентификаторов и вносить необходимые корректировки с учетом наименьших привилегий.
3 – Автоматическая проверка конфигураций на соответствие нормативным требованиям
Предлагая функцию policy-as-code
(PaC), ваша CNAPP должна автоматизировать процесс кодирования политик, регулярной проверки соответствия вашей мультиоблачной среды отраслевым, нормативным и внутренним нормативным требованиям, а также составления подробных отчетов об аудите. Она должна предоставлять практические выводы и автоматизировать процесс исправления небезопасных и ошибочных конфигураций.
Это даст вашей организации множество преимуществ, в том числе:
- Уменьшение шума от предупреждений
- Проактивное управление соблюдением требований
- Определение приоритетов исправления в зависимости от риска
- Повышение эффективности операций по обеспечению безопасности
4 – Защитите кластеры Kubernetes
Пытаться вручную оценить безопасность кластеров Kubernetes и устранить проблемы с конфигурацией – невыгодное дело, особенно потому, что многие ресурсы Kubernetes эфемерны и поставляются с конфигурациями по умолчанию. Как объясняет старший менеджер по маркетингу продуктов компании Tenable Лиор Затлави в своем блоге: «Сложность Kubernetes в сочетании с ее динамичной и распределенной природой делает задачу обеспечения безопасности кластеров от угроз весьма сложной».
Именно поэтому в вашем CNAPP должен быть инструмент управления безопасностью Kubernetes (KSPM), который обеспечивает:
- Полный, глубокий и контекстный обзор ресурсов Kubernetes, включая узлы, пространства имен, развертывания, серверы и учетные записи служб.
- Контроллер допуска, облегчающий развертывание и управление за счет применения политик как кода.
- Обнаружение неправильных конфигураций путем сканирования диаграмм Helm
- Защита рабочих нагрузок контейнеров с помощью пользовательского интерфейса
5 – Получение и обогащение данных журналов от ваших CSP
Организации часто упускают из виду важность мониторинга и анализа журналов событий и действий в облачных средах, которые собирают их поставщики услуг CSP. На самом деле журналы очень важны для управления конфигурацией.
Чтобы получать подробные сведения о причинах и последствиях неправильных конфигураций в облаке и адекватно реагировать на них, вам нужна система CNAPP, которая обогащает данные журналов, поступающие от ваших CSP, данными о безопасности и постоянно анализирует риски.
Обогащенные данные журналов предоставят вам контекст и полезную информацию для поддержания последовательных и безопасных конфигураций, снижающих риск и обеспечивающих соответствие нормативным требованиям.
Источник: Stronger Cloud Security in Five: The Importance of Cloud Configuration Security
