Under Attack?
Search
Menu
  • Blog
  • Cloud Security
  • Perché i permessi di “ruolo” sono così pericolosi per il tuo ambiente cloud

Perché i permessi di “ruolo” sono così pericolosi per il tuo ambiente cloud

By Eyal AraziSettembre 17, 2021

This post is also available in: Inglese Francese Tedesco Portoghese, Brasile Spagnolo Russo

Una delle sfide chiave per le aziende che operano nel cloud è come dominare le autorizzazioni eccessive. Operare nel cloud è tutta una questione di agilità e flessibilità. Tuttavia, il problema è che i benefici spesso hanno un costo in termini di sicurezza, portando a una proliferazione di permessi inutili ed eccessivi sul cloud.

Questo webinar si propone di affrontare la questione dei permessi eccessivi sul cloud e come tenerli sotto controllo.

Il passaggio al cloud cambia i confini delle minacce

Il problema fondamentale che le aziende devono affrontare è che il passaggio al cloud cambia i confini delle minacce.

Nel “vecchio mondo” dei data center fisici on-prem, le risorse e gli amministratori di rete si trovavano  in uno stesso stesso luogo fisico e all’interno della stessa rete. In quegli ambienti, essi erano protetti dalle minacce fisiche e la protezione si concentrava sulle difese perimetrali (quali firewall, secure web gateway, WAF, etc.) contro le minacce esterne. Gli amministratori avevano il pieno controllo delle loro risorse e, nel peggiore dei casi, dopo aver rilevato un problema, potevano scollegare il server, bloccando così il problema.

Il mondo del cloud pubblico è molto diverso. I workloads ospitati sul cloud pubblico sono ora remoti. Tutto l’accesso avviene tramite connessione remota, utilizzando i meccanismi e le API forniti dall’hosting provider sul cloud pubblico. Gli amministratori non hanno più il controllo fisico sulle loro risorse e tutto l’accesso alle stesse avviene da remoto. Tuttavia, hacker, operatori malevoli e altre terze parti non autorizzate possono accedere a quelle stesse risorse usando i medesimi protocolli standardizzati, API e metodi di accesso.

Pertanto, la sicurezza dei tuoi workloads dipende da chi vi ha accesso e dall’accesso di cui dispone. Ciò significa che i tuoi permessi corrispondono alla tua superficie di minaccia.

L’esigenza di velocità porta a permessi eccessivi

Operare sul cloud è tutta una questione di agilità e flessibilità. La velocità e la comodità d’uso del cloud permettono di ottenere nuove risorse, espandere la capacità in modo dinamico, distribuire nuovi codici e velocizzare il time to market.

Sono molte le ragioni chiave per cui i permessi eccessivi rappresentano un problema così significativo nel cloud.

  1. Le esigenze aziendali orientano l’attività sul cloud. La trasformazione digitale è tutta incentrata su un time to market più veloce e il cloud pubblico consente di ottenerlo. Operare sul cloud è tutta una questione di agilità e flessibilità e, da un punto di vista IT, è lì che “la gomma incontra la strada” della trasformazione digitale. Il problema è che nel nome della convenienza, i responsabili IT si concentrano spesso più sul procedere rapidamente che sul proteggere adeguatamente gli ambienti cloud, lasciando i workloads e i dati dei clienti vulnerabili ad esposizione e violazione di dati.
  2. Gli utenti spesso non sanno di quali permessi avranno bisogno. Sanno cosa vogliono ottenere, ma potrebbero non avere idea di tutti i piccoli passi necessari per arrivarci. Conseguentemente, essi richiedono molti più permessi di quanto sia necessario.                      Ciò diffonde un pericoloso precedente, per cui le aziende concedono credenziali per molti più privilegi di quanto dovrebbero, aumentando la possibilità di esporre a rischio le applicazioni, le configurazioni intorno agli ambienti costruiti e le loro difese di sicurezza.
  3. Gli amministratori cloud non vogliono intralciare il business. Questa tendenza umana porta gli amministratori ad essere “di manica larga” nel concedere permessi.
  4. Concedere permessi sul cloud è facile. Questo è una questione chiave perché spiega come mai i permessi sul cloud possano essere concessi così facilmente. Le operazioni sul cloud sono spesso automatizzate o basate su script, che danno priorità alla velocità e alla facilità d’uso. Ne consegue che è molto facile concedere permessi e quindi gli amministratori non devono pensarci più di tanto.

[Ti è piaciuto il post? Registrati subito per ricevere ogni settimana le ultime novità Radware direttamente nella tua email oltre all’accesso esclusivo al Premium Content di Radware.]

Per quanto le ragioni esatte possano variare da un’azienda all’altra, tutte portano allo stesso punto. Vengono concessi molti permessi non necessari. Quando vengono rilasciati così tanti permessi, una percentuale di essi può essere potenzialmente usata male, portando a violazioni su larga scala. Una delle cause principali dell’esposizione di dati è l’eccesso di permessi, privilegi inutilizzati e non controllati, che possono portare a enormi vulnerabilità in termini di sicurezza.

Il ruolo dei “ruoli” nei permessi eccessivi

Uno dei tipi di permesso che ha mostrato di essere un problema significativo è il permesso di “ruolo”. A differenza dei tradizionali permessi “utente” e “gruppo”, normalmente associati a utenti fisici (o gruppi di utenti), i permessi di “ruolo” sono permessi più flessibili che possono essere dinamicamente assegnati a un utente, ad applicazioni o a servizi. In effetti, secondo le ricerche Radware, circa l’80% dei permessi eccessivi osservati sul cloud sono permessi di “ruolo”.

A differenza dei permessi utente, tipicamente associati a una persona singola, i permessi di ruolo sono destinati a essere assunti ad-hoc da chiunque (o da qualsiasi cosa) ne abbia bisogno per una determinata sessione. I permessi di ruolo degli account cloud permettono di delegare a utenti e servizi l’accesso a risorse cloud alle quali normalmente non avrebbero accesso.

Per quanto ciò consenta una notevole flessibilità, crea anche un problema di sicurezza di permessi molto flessibili, che possono essere assunti da una vasta gamma di persone e servizi. La fluidità di questi ruoli e la varietà di use cases nei quali vengono usati porta frequentemente a una proliferazioni di accessi laddove non c’è un’esigenza aziendale che li giustifichi.

[Ti potrebbe interessare anche: How One Organization Used Radware to Lock Down Their Public Cloud]

Controllare i permessi eccessivi

Radware ha recentemente collaborato con AWS su un webinar su come funziona la gestione dell’identità e dell’accesso al cloud (IAM) e la protezione contro gli abusi accidentali e malevoli. Il webinar include anche una testimonianza di Perion Network, uno dei clienti cloud di lunga data di Radware, su come Radware ha aiutato a raffforzare il loro accesso al cloud e a bloccare la loro security posture sul cloud.

Clicca qui per guardare il webinar congiunto di Radware e AWS.

https://www.radware.com/2021-aws-webinar/?utm_source=Blog&utm_medium=Eyal+Blog+3+&utm_campaign=AWS+Radware+Blog
Posted in: Cloud Security Non categorizzatoTags:

Eyal Arazi

Eyal is a Product Marketing Manager in Radware’s security group, responsible for the company’s line of cloud security products, including Cloud WAF, Cloud DDoS, and Cloud Workload Protection Service. Eyal has extensive background in security, having served in the Israel Defense Force (IDF) at an elite technological unit. Prior to joining Radware, Eyal worked in Product Management and Marketing roles at a number of companies in the enterprise computing and security space, both on the small scale startup side, as well as large-scale corporate end, affording him a wide view of the industry. Eyal holds a BA in Management from the Interdisciplinary Center (IDC) Herzliya and a MBA from the UCLA Anderson School of Management.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Contact Us Now

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center
Close

What are you looking for?