Четыре главные проблемы управления доступом и учетными данными в публичном облаке

This post is also available in: Английский Французский Немецкий Итальянский Португальский, Бразилия Испанский

Работа в публичном облаке открывает широкие возможности гибкой разработки и доставки приложений. Так как компании и специалисты DevOps заинтересованы в развертывании кода и функций в кратчайшие сроки, переход в публичное облако — один из важнейших этапов цифровой трансформации. Согласно исследованию Radware, 70% рабочих приложений сейчас запущено в публичном облаке. Это значит, что под термином «кибербезопасность» все чаще подразумевается безопасность облака.

Быстродействие и динамичность облачных сред, кроме преимуществ и возможностей гибкой работы, представляют ряд угроз безопасности, которые организации должны также учитывать. Например, такой проблемой может стать управление доступом и учетными данными в публичном облаке.

Разрешения доступа = поверхность атаки

Разработка приложений, размещенных в публичном облаке, по определению производится удаленно. Для доступа используется удаленное подключение с помощью механизмов и API, которые предоставляет поставщик услуг публичного облака. У администраторов больше нет физического контроля над ресурсами, а весь доступ к их ресурсам осуществляется дистанционно. Однако и хакеры, злоумышленники и другие посторонние лица могут получить доступ к тем же ресурсам с помощью тех же стандартных протоколов, API и методов.

Безопасность разработки зависит от того, у кого есть доступ к приложениям, и от предоставленных полномочий.

В сущности это означает, что чем больше разрешений вы дадите, тем больше будет поверхность атаки на вашу организацию. Обеспечение безопасности в публичном облаке начинается с контроля выдаваемых разрешений и управления идентификацией и доступом (identity and access management, IAM).

Разные сети, схожие проблемы

Клиенты Radware все чаще развертывают приложения в облачных средах, и мы обнаружили несколько общих проблем, с которыми они сталкиваются.

Как уже было сказано, многие из них связаны с управлением разрешениями и учетными данными.

• Предоставление пользователям избыточных разрешений, которые не требуются для выполнения их задач
• Неправильная настройка облачных сред и клиентских политик безопасности
• Публичный доступ к онлайн-активам без должного (или вообще отсутствующего) контроля безопасности
• Несанкционированный доступ к облачной среде посторонних лиц с вредоносными целями

Давайте рассмотрим каждый из этих пунктов и разберемся, почему возникают трудности:

Проблема № 1: Избыточные разрешения

Управление разрешениями и доступом — это критически важная задача ИТ-безопасности независимо от того, где размещены онлайн-ресурсы, но в случае с публичным облаком это превращается в проблему.

Причина в том, что зачастую за переходом в облако стоит потребность в большей гибкости разработки и оперативных возможностях. В облаке гораздо проще добавлять новые ресурсы, развертывать новый код и ускорять процессы разработки, что сокращает время запуска приложений.

Но такая гибкость дорого обходится с точки зрения безопасности. В угоду удобству администраторы облака зачастую предоставляют пользователям более широкие разрешения, чем им необходимо для работы. Практика показывает, что пользователям хватает малой части этих полномочий и в полном объеме они им не нужны. Если учетные данные таких пользователей попадут в руки злоумышленников, им откроется широкий доступ к конфиденциальной информации и ресурсам. А это серьезная брешь в системе безопасности.

Проблема № 2: Неправильная настройка системы IAM

Скорость работы в облаке и путаница в том, кто из специалистов отвечает за разные аспекты безопасности, во многих компаниях становятся причиной неправильной настройки облачной среды и возникновения уязвимостей.

Управление идентификацией и доступом (IAM) — слабое место многих компаний из-за многообразия вариантов настройки и связанных с этим трудностей, которые могут возникнуть с политикой паролей, неверной настройкой аутентификации, журналами, отчетами и т. д.

Наличие этих проблем подтверждается и отраслевым исследованием. Согласно отчету Gartner «Управление привилегированным доступом в облачной инфраструктуре», к 2023 году 75% брешей в системе безопасности облака будут возникать из-за неправильного управления учетными данными, доступом и привилегиями. В результате станет сложнее отслеживать вредоносные и несанкционированные действия при получении доступа к инфраструктуре и приложениям.

[Понравилась статья? Подпишитесь на еженедельную рассылку свежих новостей от Radware и получите эксклюзивный доступ к премиум-материалам Radware.] 

Проблема № 3: Непреднамеренное предоставление публичного доступа к ресурсам

Следующая проблема — публичный доступ к онлайн-активам. Это относится к непреднамеренному открытию публичного доступа к приложениям в разработке без должного контроля безопасности (либо вообще отсутствующего).

При переходе в облако ваши активы оказываются вне прямой досягаемости. Проблема заключается в том, что нужно защищать такие активы от публичного доступа и предоставлять доступ к ним только тем лицам, которые имеют на этом право.

Часто компания переходит на облачные услуги, чтобы добиться большей гибкости, и в результате не всегда правильно ограничивает доступ к своим системам. По данным Gartner, к 2021 году 50% компаний по незнанию или ошибке открывали публичный доступ к IaaS-хранилищам, приложениям и API.

Проблема № 4: Несанкционированный доступ

Еще одна важная проблема безопасности облака — несанкционированный удаленный доступ. Речь идет о доступе к размещенным в облаке разрабатываемым приложениям с помощью украденных учетных данных пользователей.

Согласно отчету Verizon Data Breach Investigations Report 2020 (DBIR), утечка информации чаще всего происходила в результате фишинг-атак и кражи учетных данных.

В отчете IBM The Cost of Data Breach 2021 говорится о том, что украденные учетные данные — главная причина утечки информации, из-за этого происходит 20% инцидентов. В среднем одна такая утечка обходится компании в 4,37 млн долларов.

Это означает, что для безопасности вашей облачной среды необходимо обеспечить защиту от несанкционированного доступа и постоянный мониторинг доступа.

[Возможно вам будет интересно: Как защитить меняющуюся среду приложений на разных платформах]

Контроль доступа к облаку

Недавно компания Radware совместно с AWS провела вебинар, посвященный управлению конфигурациями IAM на платформе AWS и их защите от неправильного использования, преднамеренного и непреднамеренного. К нам также присоединился представитель Perion Network, одного из давних клиентов Radware. Он рассказал о сотрудничестве с Radware и о том, как компания помогла им защитить облачную среду. Чтобы посмотреть совместный вебинар AWS и Radware и узнать, как защитить систему управления доступом и учетными данными (IAM), перейдите по ссылке.