Temat Numeru | Bezpieczeństwo Instytucji Finansowych – ORACLE | Wyzwania i konsekwencje zarządzania konfiguracją chmury

Autorzy opublikowanego niedawno raportu dotyczącego zagrożeń w chmurze na rok 2020, Oracle i KPMG, nie tylko analizują trendy związane z adaptacją chmury i bieżącym krajobrazem zagrożeń, ale także koncentrują się na tym, w jaki sposób firmy mogą zautomatyzować najlepsze praktyki zarządzania konfiguracją systemów, aby zapewnić bezpieczeństwo swoich inwestycji chmurowych.

Dane przedstawione w raporcie zostały zebrane w ramach ankiety internetowej przeprowadzonej przez biuro badawcze Enterprise Strategy Group. Badaniem objęto 750 specjalistów ds. bezpieczeństwa cybernetycznego i IT z organizacji sektora prywatnego i publicznego w Ameryce Północnej, Europie Zachodniej oraz w regionie Azji i Pacyfiku.

W niniejszym artykule omówimy jedno z kluczowych zagadnień dotyczących bezpieczeństwa w chmurze, omawianych w raporcie Oracle/KPMG: wyzwania w zakresie zarządzania konfiguracją chmury obliczeniowej.

Stosowanie chmury ogranicza przejrzystość

Nie zawsze właściwie rozumiany charakter korzystania z cudzego centrum przetwarzania danych i wspólnego ponoszenia odpowiedzialności często prowadzi do braku przejrzystości. W raporcie chcieliśmy przyjrzeć się tej kwestii nieco bliżej i znaleźliśmy tu wyraźny motyw przewodni: wdrożenie chmury wiąże się z szeregiem wyzwań w zakresie zarządzania konfiguracją. Największe wyzwanie związane z bezpieczeństwem chmury, które wymieniali nasi respondenci, było zarazem jednym z obszarów, w których muszą oni uzyskać lepszy wgląd w sposób korzystania z usług w chmurze publicznej przez ich przedsiębiorstwa. Chodzi tu o konfigurację obciążeń serwerowych.

Wśród najczęściej wskazywanych wyzwań znalazły się też dwa inne problemy z zarządzaniem konfiguracją, które są ściśle powiązane: identyfikowanie nieprawidłowo skonfigurowanych grup zabezpieczeń (tzn. zapór działających na hostach) i serwerów komunikujących się ze światem zewnętrznym. Takie problemy konfiguracyjne narażają serwery na nieautoryzowaną transmisję między obciążeniami, która może umożliwić uruchomienie szkodliwego oprogramowania oraz niemal natychmiastowe skanowanie portów przez całe armie botów sterowane przez przestępców.

Niechronione wrażliwe dane umożliwiające dostęp do chmury zwiększają ryzyko

Wśród różnych typów nieprawidłowości w konfiguracji usług chmurowych wymienianych przez respondentów szczególne obawy budzi brak ochrony wrażliwych danych umożliwiających dostęp do chmury (tzn. haseł, kluczy interfejsów API, kluczy szyfrowania oraz danych uwierzytelniających powiązanych z kontem administratora i kontem usługi).

Najczęściej wymieniany błąd w konfiguracji usług chmurowych, czyli obecność kont z nadmiernymi uprawnieniami, wiąże się bezpośrednio z brakiem ochrony wrażliwych danych umożliwiających dostęp do chmury. Nie ma wątpliwości, że takie dane uwierzytelniające są na celowniku przestępców, co potwierdza duży odsetek przedsiębiorstw, które odnotowały ataki ukierunkowane na wyłudzenie i kradzież chmurowych danych uwierzytelniających, powiązanych z kontami użytkowników uprzywilejowanych. Takie skradzione dane można wykorzystać do uzyskania dostępu do kolejnych tajnych danych związanych z chmurą, a za ich pośrednictwem do szerokiej gamy usług chmurowych, w tym magazynów danych – takich jak bazy danych i obiektowa pamięć masowa. Częścią problemu jest ujawniany przez respondentów fakt, że wspomniane wrażliwe dane są przechowywane w niedostatecznie chronionych lokalizacjach.

Umiejscowienie tajnych danych (czasem w formie zwykłego tekstu) w niechronionych lokalizacjach jest kolejnym efektem ubocznym nieostrożnych działań. Zespoły programistów działają szybko i nie zastanawiają się nad tym, gdzie umieszczają dane wrażliwe. Najlepsze procedury ukierunkowane na ochronę tajnych danych umożliwiających dostęp do chmury to – tak jak poprzednio – implementacja zasady minimalnych uprawnień i przechowywanie tajnych danych w bezpiecznym magazynie, np. sprzętowym module pamięci masowej (HSM) lub magazynie kluczy.

Ochrona konfiguracji chmury wymaga koncentracji na tożsamości

Nieprawidłowo skonfigurowane usługi chmurowe posłużyły wielu przedsiębiorstwom jako punkt wyjścia do reorganizacji stosowanych chmurowych mechanizmów i procesów zabezpieczających przez wzmocnienie narzędzi do zarządzania tożsamością i dostępem – z naciskiem na ochronę funkcji obsługiwanych przez ludzi. W związku z tym głównym bezpośrednim efektem nieprawidłowo skonfigurowanych usług chmurowych (wymienionym przez ponad połowę respondentów) było wdrożenie uwierzytelniania wieloelementowego dla najbardziej newralgicznych kont w chmurze.

Takie konta i dane uwierzytelniające musimy traktować jak chmurowy odpowiednik kont i danych zapewniających dostęp uprzywilejowany do lokalnych kontrolerów domeny. Nieograniczony dostęp do chmurowych danych uwierzytelniających powiązanych z kontami użytkowników uprzywilejowanych, który zostanie wykorzystany do naruszenia bezpieczeństwa podstawowych usług chmurowych, może spowodować znaczne szkody, dlatego tegoroczny raport zachęca do działania: wszystkie konta chmurowe, które wymagają stosowania uprzywilejowanych danych uwierzytelniających, muszą być chronione za pomocą uwierzytelniania wieloelementowego.

Jak firmy radzą sobie z uwierzytelnianiem wieloelementowym w ochronie newralgicznych kont w chmurze? Mniej niż połowa uczestników badania stosuje uwierzytelnianie wieloelementowe do zapewniania dostępu do konsoli zarządzania chmurą, narzędzi do koordynowania procesów DevOps i kont administratorów aplikacji biznesowych udostępnianych jako usługa. Niepokoi też niezbyt duża popularność uwierzytelniania wieloelementowego używanego do ochrony dostępu do repozytoriów umożliwiających zarządzanie kodem źródłowym.