Under Attack?
Search
Menu
  • Blog
  • Cloud Security
  • Por que as permissões por “função” são tão perigosas para seu ambiente de nuvem

Por que as permissões por “função” são tão perigosas para seu ambiente de nuvem

By Eyal Arazisetembro 17, 2021

This post is also available in: Inglês Francês Alemão Italiano Espanhol Russo

Um dos principais desafios enfrentados pelas organizações que operam na nuvem é como controlar o excesso de permissões. Operar na nuvem pública envolve agilidade e flexibilidade. Ainda assim, o problema é que, muitas vezes, os benefícios têm um custo para a segurança, levando a uma proliferação de permissões desnecessárias e excessivas na nuvem.

Este webinar tem como objetivo discutir a questão do excesso de permissões na nuvem e como controlá-las.

Mover para a nuvem altera os limites das ameaças

O problema principal com o qual as organizações precisam lidar é que a mudança para a nuvem altera os limites das ameaças.

No “velho mundo” do data center físico local, os recursos de rede e os administradores estavam localizados no mesmo local físico ou na mesma rede. Nesses ambientes, eles eram protegidos contra ameaças físicas, e a proteção focava em defesas de perímetro (como firewall, gateway seguro da web, WAF, etc.) contra ameaças externas. Os administradores tinham controle total sobre seus recursos e, na pior das hipóteses, se detectassem um problema, poderiam ir até lá desconectar o servidor, eliminando o problema.

O mundo da nuvem pública é muito diferente. As cargas de trabalho hospedadas na nuvem pública agora são remotas. O acesso total é feito por meio de conexão remota, usando mecanismos e APIs fornecidos pelo provedor de hospedagem em nuvem pública. Os administradores não têm mais controle físico sobre seus recursos e todo o acesso a seus recursos é feito remotamente. No entanto, hackers, agentes mal-intencionados e terceiros não autorizados podem acessar esses mesmos recursos usando os mesmos protocolos padronizados, APIs e métodos de acesso.

Portanto, a segurança da carga de trabalho é definida por quem tem acesso e qual acesso tem. Na verdade, isso significa que suas permissões são iguais à sua superfície de ameaça.

Une image contenant texte, périphérique, mètre, jauge Description générée automatiquement

A necessidade de velocidade leva ao excesso de permissões

Operar na nuvem pública envolve agilidade e flexibilidade. A velocidade e a conveniência de usar a nuvem permitem novos recursos, expandindo a capacidade dinamicamente, implantando novos códigos e agilizando a comercialização.

Há vários motivos principais pelos quais o excesso de permissões é um problema tão grande na nuvem:

  1. Os requisitos da empresa impulsionam a atividade na nuvem.. A transformação digital está relacionada a um lançamento mais rápido no mercado, e a nuvem pública é um facilitador para isso. Operar na nuvem envolve agilidade e flexibilidade e, na perspectiva de TI, é onde “a mágica acontece” na transformação digital. O problema é que, em nome da conveniência, os gerentes de TI geralmente se concentram mais em mudar rapidamente e não conseguem proteger adequadamente seus ambientes de nuvem, deixando suas cargas de trabalho e dados de clientes vulneráveis à exposição e às violações de dados.
  2. Os usuários normalmente não sabem de quais permissões precisarão.. Eles sabem o que querem que seja feito, mas talvez não tenham ideia de todos os pequenos passos que os levam até lá. Assim, eles solicitam muito mais permissões do que precisam. Consequentemente, isso propaga um precedente perigoso em que as organizações concedem às credenciais muito mais privilégios do que deveriam permitir, aumentando o potencial de expor as aplicações, configurações em torno de ambientes construídos e suas defesas de segurança.
  3. Os administradores de nuvem não querem atrapalhar as atividades. Essa tendência humana faz com que os administradores façam uma distribuição “rápida” de permissões.
  4. Conceder permissões na nuvem é fácil. Essa é uma questão importante, pois explica por que as permissões da nuvem podem ser distribuídas com tanta facilidade. As operações na nuvem são geralmente automatizadas ou baseadas em scripts, o que prioriza a velocidade e a facilidade de uso. Assim, é muito fácil distribuir permissões, os administradores normalmente não se preocupam muito com isso.

[Gostou desta publicação? Inscreva-se agora para receber o conteúdo mais recente da Radware na sua caixa de entrada, toda semana, além de acesso exclusivo ao conteúdo premium da Radware.]

Embora os motivos exatos possam variar entre as organizações, todos eles levam ao mesmo lugar. Muitas permissões estão sendo concedidas sem necessidade. Quando tantas permissões estão sendo emitidas, uma porcentagem delas pode ser potencialmente mal utilizada, levando a violações em grande escala. Algumas das principais causas de exposição de dados são a concessão excessiva de permissões, privilégios não utilizados e não controlados, o que pode levar a vulnerabilidades massivas de segurança.

O papel das “funções” nas permissões excessivas

Um dos tipos de permissão que provou ser uma preocupação em especial são as permissões por “função”. Ao contrário das permissões tradicionais por “usuário” e “grupo”, que geralmente são associadas a usuários físicos reais (ou grupos de usuários), as permissões por “função” são permissões mais flexíveis que podem ser atribuídas dinamicamente a um usuário, aplicações ou serviços. Na verdade, de acordo com a própria pesquisa da Radware, cerca de 80% das permissões em excesso observadas no ambiente de nuvem são permissões por “função”.

Ao contrário das permissões por usuário, que normalmente são associadas a uma única pessoa, as permissões por função devem ser assumidas ad-hoc por qualquer pessoa (ou qualquer coisa) que precise delas para aquela sessão específica. As permissões por função de contas na nuvem permitem delegar acesso a usuários e serviços para recursos de nuvem aos quais eles normalmente não teriam acesso.

Embora isso proporcione uma grande flexibilidade, também cria um desafio de segurança de permissões muito flexíveis, que podem ser assumidas por uma ampla variedade de pessoas e serviços. A fluidez dessas funções e a variedade de casos de uso em que são usadas frequentemente levam à proliferação de acessos em que não há necessidade comercial.

[Você também pode se interessar por: Como uma organização recorreu à Radware para bloquear sua nuvem pública]

Controlando o excesso de permissões

Recentemente, a Radware fez parceria com a AWS em um webinar para discutir como funciona o Gerenciamento de Identidades e Acesso (identity and access management, IAM) e como protegê-lo contra o uso indevido acidental e mal-intencionado. O webinar também inclui um depoimento da Perion Network, um dos clientes de nuvem de longa data da Radware, sobre como a Radware ajudou a fortalecer seu acesso à nuvem e bloquear sua postura de segurança na nuvem.

Clique aqui para assistir ao webinar conjunto da Radware e da AWS.

AWS and Radware Webinar

Posted in: Cloud Security Não categorizadoTags:

Eyal Arazi

Eyal is a Product Marketing Manager in Radware’s security group, responsible for the company’s line of cloud security products, including Cloud WAF, Cloud DDoS, and Cloud Workload Protection Service. Eyal has extensive background in security, having served in the Israel Defense Force (IDF) at an elite technological unit. Prior to joining Radware, Eyal worked in Product Management and Marketing roles at a number of companies in the enterprise computing and security space, both on the small scale startup side, as well as large-scale corporate end, affording him a wide view of the industry. Eyal holds a BA in Management from the Interdisciplinary Center (IDC) Herzliya and a MBA from the UCLA Anderson School of Management.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Contact Us Now

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center
Close

What are you looking for?