Perché i permessi di “ruolo” sono così pericolosi per il tuo ambiente cloud
This post is also available in:
Inglese
Francese
Tedesco
Portoghese, Brasile
Spagnolo
Russo
Una delle sfide chiave per le aziende che operano nel cloud è come dominare le autorizzazioni eccessive. Operare nel cloud è tutta una questione di agilità e flessibilità. Tuttavia, il problema è che i benefici spesso hanno un costo in termini di sicurezza, portando a una proliferazione di permessi inutili ed eccessivi sul cloud.
Questo webinar si propone di affrontare la questione dei permessi eccessivi sul cloud e come tenerli sotto controllo.
Il passaggio al cloud cambia i confini delle minacce
Il problema fondamentale che le aziende devono affrontare è che il passaggio al cloud cambia i confini delle minacce.
Nel “vecchio mondo” dei data center fisici on-prem, le risorse e gli amministratori di rete si trovavano in uno stesso stesso luogo fisico e all’interno della stessa rete. In quegli ambienti, essi erano protetti dalle minacce fisiche e la protezione si concentrava sulle difese perimetrali (quali firewall, secure web gateway, WAF, etc.) contro le minacce esterne. Gli amministratori avevano il pieno controllo delle loro risorse e, nel peggiore dei casi, dopo aver rilevato un problema, potevano scollegare il server, bloccando così il problema.
Il mondo del cloud pubblico è molto diverso. I workloads ospitati sul cloud pubblico sono ora remoti. Tutto l’accesso avviene tramite connessione remota, utilizzando i meccanismi e le API forniti dall’hosting provider sul cloud pubblico. Gli amministratori non hanno più il controllo fisico sulle loro risorse e tutto l’accesso alle stesse avviene da remoto. Tuttavia, hacker, operatori malevoli e altre terze parti non autorizzate possono accedere a quelle stesse risorse usando i medesimi protocolli standardizzati, API e metodi di accesso.
Pertanto, la sicurezza dei tuoi workloads dipende da chi vi ha accesso e dall’accesso di cui dispone. Ciò significa che i tuoi permessi corrispondono alla tua superficie di minaccia.
L’esigenza di velocità porta a permessi eccessivi
Operare sul cloud è tutta una questione di agilità e flessibilità. La velocità e la comodità d’uso del cloud permettono di ottenere nuove risorse, espandere la capacità in modo dinamico, distribuire nuovi codici e velocizzare il time to market.
Sono molte le ragioni chiave per cui i permessi eccessivi rappresentano un problema così significativo nel cloud.
- Le esigenze aziendali orientano l’attività sul cloud. La trasformazione digitale è tutta incentrata su un time to market più veloce e il cloud pubblico consente di ottenerlo. Operare sul cloud è tutta una questione di agilità e flessibilità e, da un punto di vista IT, è lì che “la gomma incontra la strada” della trasformazione digitale. Il problema è che nel nome della convenienza, i responsabili IT si concentrano spesso più sul procedere rapidamente che sul proteggere adeguatamente gli ambienti cloud, lasciando i workloads e i dati dei clienti vulnerabili ad esposizione e violazione di dati.
- Gli utenti spesso non sanno di quali permessi avranno bisogno. Sanno cosa vogliono ottenere, ma potrebbero non avere idea di tutti i piccoli passi necessari per arrivarci. Conseguentemente, essi richiedono molti più permessi di quanto sia necessario. Ciò diffonde un pericoloso precedente, per cui le aziende concedono credenziali per molti più privilegi di quanto dovrebbero, aumentando la possibilità di esporre a rischio le applicazioni, le configurazioni intorno agli ambienti costruiti e le loro difese di sicurezza.
- Gli amministratori cloud non vogliono intralciare il business. Questa tendenza umana porta gli amministratori ad essere “di manica larga” nel concedere permessi.
- Concedere permessi sul cloud è facile. Questo è una questione chiave perché spiega come mai i permessi sul cloud possano essere concessi così facilmente. Le operazioni sul cloud sono spesso automatizzate o basate su script, che danno priorità alla velocità e alla facilità d’uso. Ne consegue che è molto facile concedere permessi e quindi gli amministratori non devono pensarci più di tanto.
Per quanto le ragioni esatte possano variare da un’azienda all’altra, tutte portano allo stesso punto. Vengono concessi molti permessi non necessari. Quando vengono rilasciati così tanti permessi, una percentuale di essi può essere potenzialmente usata male, portando a violazioni su larga scala. Una delle cause principali dell’esposizione di dati è l’eccesso di permessi, privilegi inutilizzati e non controllati, che possono portare a enormi vulnerabilità in termini di sicurezza.
Il ruolo dei “ruoli” nei permessi eccessivi
Uno dei tipi di permesso che ha mostrato di essere un problema significativo è il permesso di “ruolo”. A differenza dei tradizionali permessi “utente” e “gruppo”, normalmente associati a utenti fisici (o gruppi di utenti), i permessi di “ruolo” sono permessi più flessibili che possono essere dinamicamente assegnati a un utente, ad applicazioni o a servizi. In effetti, secondo le ricerche Radware, circa l’80% dei permessi eccessivi osservati sul cloud sono permessi di “ruolo”.
A differenza dei permessi utente, tipicamente associati a una persona singola, i permessi di ruolo sono destinati a essere assunti ad-hoc da chiunque (o da qualsiasi cosa) ne abbia bisogno per una determinata sessione. I permessi di ruolo degli account cloud permettono di delegare a utenti e servizi l’accesso a risorse cloud alle quali normalmente non avrebbero accesso.
Per quanto ciò consenta una notevole flessibilità, crea anche un problema di sicurezza di permessi molto flessibili, che possono essere assunti da una vasta gamma di persone e servizi. La fluidità di questi ruoli e la varietà di use cases nei quali vengono usati porta frequentemente a una proliferazioni di accessi laddove non c’è un’esigenza aziendale che li giustifichi.
[Ti potrebbe interessare anche: How One Organization Used Radware to Lock Down Their Public Cloud]
Controllare i permessi eccessivi
Radware ha recentemente collaborato con AWS su un webinar su come funziona la gestione dell’identità e dell’accesso al cloud (IAM) e la protezione contro gli abusi accidentali e malevoli. Il webinar include anche una testimonianza di Perion Network, uno dei clienti cloud di lunga data di Radware, su come Radware ha aiutato a raffforzare il loro accesso al cloud e a bloccare la loro security posture sul cloud.
Clicca qui per guardare il webinar congiunto di Radware e AWS.
