Защита машинных идентификаторов (machine ID, МИ) и управление конфиденциальной информацией, а также привилегиями в облачных развертываниях — одна из важнейших задач предприятий. Их игнорирование увеличивает поверхность атаки организации и ставит под угрозу бизнес-операции. Арт Погосян, CEO поставщика облачной платформы для защиты мультиоблачных сред Britive, рассказывает на портале eWeek о том, как решить эти задачи в мультиоблаке.
Автоматизация в рамках инициатив цифровой трансформации, опирающихся на облачные приложения, приводит к резкому росту использования МИ. Действительно, их число превышает число человеческих идентификаторов как минимум втрое. И хотя МИ повышают производительность за счет быстрого и безошибочного выполнения задач, их широкое использование в разрозненных облачных приложениях затрудняет наблюдаемость и получение доступа с наименьшими привилегиями. Именно поэтому очень важно обеспечить безопасность МИ и внедрить управление потоками конфиденциальной информации в облаке. Неспособность сделать это увеличивает поверхность атаки в организации и ставит под угрозу бизнес-операции.
В мультиоблачных средах организации полагаются на сверхпривилегированные идентификаторы (over-privileged ID) для выполнения различных задач — от запуска сценариев до внесения исправлений, поскольку они быстрые, экономически эффективные и менее подвержены ошибкам, чем люди.
Широкое распространение автоматизации в облаке означает, что количество идентификаторов растет в два раза быстрее, чем число пользователей-людей. Проблема состоит в том, что во многих случаях идентификаторы и привилегии статичны, а иногда и жестко закодированы в приложениях. Нужно понимать, что постоянные привилегии часто не нужны, устарели и не подлежат ротации. Подключенные устройства, распространенные в многочисленных облачных средах, приводят к увеличению количества служебных учетных записей, ботов и роботизированных процессов. Они требуют постоянного доступа, постоянно обмениваются привилегированной информацией и, как правило, работают без присмотра человека. Более того, идентификаторам регулярно поручают расширенные обязанности по мере того, как они все глубже внедряются в автономные и автоматизированные процессы.
Распространение МИ требует от ИБ-команд усиления мониторинга и управления, поскольку необходимо понимать, какие, как часто и при каких обстоятельствах используются привилегии. Управление идентификацией и доступом необходимо, если организации намерены в полной мере использовать преимущества межоблачной автоматизации. Это особенно актуально для команд CloudOps, чья работа заключается в быстром создании и предоставлении продуктов. Если организации взяли в разработке курс на автоматизацию с присущей ей скоростью, командам разработчиков облачных приложений нужно поддерживать цикл, который не замедляет производство. В результате для новых задач, таких как тестирование приложений, на лету создаются новые идентификаторы, что может усложнить наблюдаемость управления и соответствие пользователей установленным им привилегиям.
Средства контроля безопасности для предоставления доступа, возможностей которых было достаточно для онпремис-среды, не подходят для межоблачных операций, потому что лишены автоматизированного управления привилегированным доступом. Но слишком часто организации не воспринимают серьезные риски, связанные с МИ в облаке. Обладание ими чрезмерным и неконтролируемым доступом к привилегиям, — широко распространенное явление, что расширяет поверхность атак и подверженность организации риску. Таким образом, когда злоумышленник захватывает идентификатор с избыточными правами, он может провести атаку типа «подключение сбоку» (sidejacking) и получить доступ ко всей среде.
Cron Jobs по новой
Привилегии доступа для роботов на протяжении десятилетий интегрировались в компьютеризированные процессы. В результате при выполнении повторяющихся задач они стали более эффективными, чем люди. На самом деле, идентификаторы служб в Linux использовались инженерами для запуска отложенных команд (эти задания принято называть «Cron Jobs») еще в конце
Проблема в том, что управление роботами, выполняющими эти задания в современных мультиоблачных средах, бесконечно усложняется: многочисленные платформы, использующие тысячи МИ, создают недостаток наглядности и контроля; ИБ-команды могут не знать, какие идентификаторы выполняют те или иные задания, поскольку они были установлены разработчиками облака. Из-за того, что предприятия боятся нарушить работу путем удаления важных привилегий, роботы продолжают подвергать их риску.
Предсказать действия, связанные с МИ, непросто. В конце концов, роботы иногда ведут себя случайным образом, выполняя задачи, выходящие за рамки их обычной компетенции. Но когда руководитель службы безопасности проводит аудит разрешений идентификаторов пользователей, он обнаруживает громоздкий список непонятных и ненужных идентификаторов. Это приводит к опасному застою. Слишком много МИ с неизвестным количеством привилегий, работающих без вмешательства человека, приводит к расширению ландшафта угроз.
Наблюдаемость
Организациям следует искать способы обеспечения наблюдаемости и контроля привилегированного доступа для МИ на всех облачных платформах — IaaS, DaaS, PaaS и SaaS. В идеале это должно происходить из одного окна, где предоставление и отмена привилегий осуществляется простым нажатием кнопки. Что касается разрешений, команды должны относиться к МИ так же, как к людям, и вооружиться политикой постоянных нулевых привилегий (Zero Standing Permissions, ZSP). ZSP — это базовый уровень безопасности мультиоблачной среды. Он означает отказ от статических привилегий или секретов, отмену сверхпривилегированных учетных записей и устранение устаревших или ненужных учетных записей.
Это может показаться сложной задачей, но это необходимый шаг в обеспечении безопасности облачных сред. К счастью, в настоящее время существует несколько решений, которые могут помочь организациям обеспечить наблюдаемость, реализовать контроль и не прерывать бизнес-операции. Ниже приводятся пять методов снижения риска сверхпривилегированных МИ в мультиоблачной среде.
1. Использование Just In Time (своевременного) доступа к привилегиям для всех пользователей — как людей, так и машин
Пользователи и МИ могут быстро проверить профиль повышенных привилегий на основе ролей для определенной облачной службы, на время сеанса или задачи, на определенный период времени, либо до тех пор, пока пользователь не вернет профиль вручную. После завершения задачи эти привилегии автоматически аннулируются.
2. Поддержка постоянных нулевых привилегий
Динамическое добавление и удаление привилегий позволяет команде CloudOps поддерживать уровень безопасности ZSP. Он работает на основе концепции Zero Trust, которая означает, что постоянный доступ к облачным учетным записям и данным по умолчанию не дается никому.
3. Централизация и масштабирование управления привилегиями
Минимизация разрастания является критически важной задачей при использовании статических идентификаторов, и многие команды CloudOps сегодня пытаются управлять идентификаторами и привилегиями с помощью электронных таблиц Excel вручную. Автоматизировать этот процесс на всех облачных ресурсах позволяет централизованная инициализация, которая значительно снижает вероятность ошибок, которые могут подвергнуть учетные записи и данные большему риску.
4. Получение полной наблюдаемости доступа с помощью расширенной аналитики данных
Расширенная аналитика данных (Advanced Data Analytics, ADA) дает командам возможность контролировать всю среду на всех платформах из одного окна. Это позволяет выявлять проблемы с доступом к привилегиям, характерные для каждой организации, и придает уверенность командам, ответственным за управление тысячами идентификаторов пользователей.
5. Встраивание управления конфиденциальной информацией в процессы CI/CD
Когда CloudOps необходимо запустить временные сервисы, конфиденциальная информация может предоставляться и отзываться на лету, что идеально для них подходит. Автоматизируйте ротацию общих секретов, которая вызывается с помощью политики, обеспечивает безопасность и упрощает процесс ввода и вывода из эксплуатации. Ограниченная наблюдаемость мешает ИБ-командам и усугубляет и без того сложную ситуацию. Слишком большое количество МИ со сверхпривилегированным доступом означает, что организации сталкиваются с серьезными проблемами при защите мультиоблачных сред.
Но определив, кто и с какими разрешениями использует привилегированные учетные записи, отозвав ненужный доступ и своевременно применив привилегированный доступ, организации могут обеспечить безопасность мультиоблачных сред и уверенно развернуть процессы автоматизации. Точного количества МИ, используемых сегодня в облаке, не знает никто, но их количество быстро растет. И хотя ускоренный рост свидетельствует об улучшении бизнес-операций, он также демонстрирует необходимость в динамичных и надежных решениях безопасности. Команды, работающие в мультиоблаке, должны сотрудничать с партнерами по безопасности, которые могут обеспечить межоблачное покрытие без сбоев в работе. Это необходимо для поддержания безопасности и функциональности критически важной инфраструктуры.
