Перехід у хмару – одне із найзначніших технологічних зрушень. Понад 80% організацій, що працюють у хмарі, щомісяця стикаються як мінімум з одним зламаним обліковим записом, що відбувається внаслідок дій зловмисників або через випадкові помилки.
Специфіка дій щодо безпеки у хмарі може відрізнятися залежно від ваших хмарних платформ та сценаріїв використання, однак є деякі передові практики, яких повинна дотримуватися кожна організація.
Багато з них були вивчені фахівцями компанії Thycotic у процесі допомоги тисячам компаній з планування, розроблення та створювання своїх програм PAM для хмарних середовищ. Наведений нижче список передових методів забезпечення безпеки PAMCloud допоможе вам запобігти зламу привілейованих облікових записів вашої організації та забезпечити наявність засобів контролю безпеки для зниження ризику успішної кібератаки. Надішліть цей контрольний список своїй команді ІТ-безпеки!
Найкращі рекомендації щодо забезпечення безпеки у хмарі
Best Practice #1. Співвіднесіть нормативні вимоги з хмарними функціями
Дотримання нормативних вимог не є кінцевою метою кібербезпеки, але це важливий крок для захисту ваших хмарних ресурсів, тому він займає перше місце у нашому контрольному списку з безпеки хмарних середовищ. Зіставте свої політики управління привілейованим доступом з будь-якими нормативними вимогами, які пред’являються до вашого бізнесу.
Незалежно від того, чи ви дотримуєтеся NIST, CIS Controls або іншої передової платформи для кібербезпеки, обов’язково додайте у свої політики захист хмарних ресурсів. Задокументуйте свої політики PAM та поділіться ними з усіма, хто може взаємодіяти з привілейованими обліковими записами.
Best Practice #2. Створіть хмарний бізнес-офіс
Деякі з найуспішніших організацій, з якими працює Thycotic, особливо ті, що прийняли концепцію хмарних технологій, створюють хмарний бізнес-офіс (CBO). У цій моделі передової практики CBO мають широку видимість та здійснюють контроль за всією хмарною діяльністю. Вони є центральним пунктом для прийняття рішень, комунікацій та управління проектами, щоб забезпечити дотримання корпоративної або державної політики та кращих практик забезпечення безпеки хмарних обчислень.
CBO може перебувати в ІТ-відділі, але насправді він є міжфункціональною командою. Це чудовий спосіб організувати зацікавлені сторони у різних відділах, включаючи хмарних архітекторів, хмарних інженерів, розробників, операційні групи, групи безпеки, менеджерів з відповідності вимогам / ризикам та власників бізнесу, які мають вплив та перспективи на використання хмари та стратегію.
Альянсом Сloud Architect Alliance було організувано захід, присвячений Cloud Business Office, та опублікувано декілька відеороликів, з якими варто ознайомитись.
Best Practice #3. Знайте свої обов’язки щодо забезпечення безпеки у хмарі
Чи знаєте ви, що у переважній більшості випадків неправильної конфігурації хмари та невідповідного контролю винен клієнт, а не постачальник хмари? AWS та інші хмарні платформи мають безліч посібників з кращої практики, які вони можуть надати щодо налаштування кореневих облікових записів для серверів, конфігурування S3 buckets та інших параметрів. Обов’язково дотримуйтесь цих посібників та перевіряйте правильність усіх налаштувань.
Керування відповідним доступом та дозволами для кожної людини та кожної системи, що взаємодіє з хмарними системами, лягає на ваші плечі, а не на плечі постачальника хмарних послуг. Ці системи можуть включати критично важливі програми або бази даних, що зберігаються у хмарі, хмарні платформи для розробки програм або інструменти, які використовуються вашими бізнес-командами чи технічними групами. Доступ до хмари повинен бути включений та відстежуватися за допомогою тих самих політик, процесів та рішень PAM, які ви використовуєте для організації в цілому.
Best Practice #4. Впроваджуйте детальний контроль безпеки для будь-яких типів хмарних платформ
Детальний контроль доступу до хмари – одна з найкращих практик PAM, яку не вдається реалізувати багатьом компаніям. Хоча організації зазвичай мають широку систему RBAC для хмарних інфраструктур, таких як AWS або Azure, вони часто не враховують різні рівні доступу, пов’язані з веб-додатками. PAM, розроблений для хмари, дозволяє точно контролювати, що користувачі можуть бачити та робити на всіх хмарних платформах, включаючи бази даних та веб-додатки.
Best Practice #5. Не ставте моніторинг на другий план
Хоча переважна більшість користувачів заслуговують на довіру, найкраще відстежувати та перевіряти їхню поведінку, коли вони отримують доступ до конфіденційної інформації та привілейованих облікових записів. В рамках програми безпеки необхідно відстежувати мережевий трафік на предмет незвичайної активності, наприклад доступу в неробочий час, віддалених підключень та інших вихідних дій. Шукайте ознаки компрометації, тимчасово блокуючи вихідний інтернет-трафік та відстежуючи відтік даних.
Навіть якщо декілька бізнес- та технічних функцій використовують різні типи хмарних ресурсів, за допомогою рішення PAM корпоративного масштабу можна отримати консолідоване уявлення про привілейований доступ по усій організації.
Best Practice #6. Будьте дуже уважні до третіх осіб
Не обмежуйте моніторинг та контроль за внутрішніми загрозами лише співробітниками. Ви можете взаємодіяти зі сторонніми постачальниками по-різному, наприклад, як віддалений підрядник, який працює над обмеженим за часом проектом, впроваджений підрядник або аутсорсингове збільшення штату.
Безпека постачальників повинна забезпечуватись як під час активної роботи третьої сторони у вашій організації, так і після завершення співпраці. Рішення з управління привілейованим доступом постачальників (VPAM) дозволяють знизити ризик, управляти привілейованим доступом та забезпечити аудиторський контроль для забезпечення підзвітності кожного.
Best Practice #7. Ніколи не надавайте постійний доступ
Багато компаній зберігають привілеї надто довго, не звертають уваги на закінчення терміну дії паролів та облікових записів, а також не видаляють привілеї після закінчення проектів або при звільненні співробітників. Надання постійного привілейованого доступу порушує принцип найменших привілеїв та створює значний ризик.
Реалізація доступу Just-In-Time в рамках управління привілейованим доступом (PAM) забезпечує користувачам і системам хмари відповідний доступ, коли це необхідно, протягом мінімально необхідного часу.
Інструменти Advanced PAM використовують такі функції робочого процесу, як “Запит доступу”, які дозволяють користувачам вимагати доступу на певний період часу. Крім того, функції “Оформлення замовлення” можуть змінювати облікові дані, як тільки закінчується період оформлення замовлення, тому навіть якщо термін дії облікових даних не минув, користувач не зможе повернутися з тими самими обліковими даними.
Best Practice #8. Протестуйте свої системи
Дотримуючись переліку кращих практик забезпечення безпеки у хмарі, ви далеко просунетеся, але без тестування ви залишите без відповіді важливе питання: чи є результати від докладених зусиль? Протестуйте засоби керування хмарною безпекою, щоб зрозуміти, наскільки добре вони протистоять кібер-атаці. Багато компаній залучають “етичних хакерів” або “червоні команди” для імітації цільових атак. Така практика дозволяє виявити вразливість безпеки до того, як вони будуть розкриті злочинним хакером або відзначені під час зовнішнього аудиту.
І останнє, але не менш важливе, Cloud Security Best Practice #9. Плануйте зміни
Останнє в контрольному списку, але не менш важливе – передбачати зміни. Середнє підприємство використовує близько двох тисяч хмарних сервісів, переважно завдяки зростанню SaaS. Швидше за все, у вашій організації є багато нових SaaS або веб-додатків, які виходять в інтернет прямо зараз.
Якщо ви працюєте в середовищі DevOps, нові люди та системи постійно отримують доступ до вашого інстансу AWS або інших хмарних платформ.
Періодичне сканування на наявність та стан привілейованих облікових записів не забезпечить вам необхідну видимість та контроль.
З практики стає зрозуміло, що найкращим вибором є безперервне сканування всіх типів хмарних облікових записів. Тоді ви завжди можете переконатися, що дозволи налаштовані належним чином та забезпечено відповідний контроль.
Щоб відповідати очікуваному зростанню кількості привілейованих облікових записів, хмарних додатків та користувачів, найкраще використовувати хмарне рішення PAM. Хмарне рішення PAM має можливість масштабуватися без уповільнення роботи інших ресурсів або втрати контролю.
Разом з цим, в організаціях, де активно використовуються DevOps технології, безперервно створюється, використовується та виводиться з експлуатації широкий спектр хмарних ресурсів – PAM автоматизує та прискорює створення, архівування, вилучення та ротацію облікових даних.
Джерело: https://thycotic.com/company/blog/2021/11/02/cloud-security-best-practices-checklist/
