Почему права на основе ролей опасны для облачных сред

This post is also available in: Английский Французский Немецкий Итальянский Португальский, Бразилия Испанский

Одна из ключевых проблем, с которой сталкиваются компании, работая в облаке, — сокращение избыточных прав доступа. Облачная среда — это прежде всего возможности гибкой и быстрой разработки приложений. Вместе с тем эти преимущества часто реализуются в ущерб безопасности, приводя к быстрому росту ненужных и избыточных прав доступа в облаке.

На этом вебинаре мы обсудили проблему избыточных прав доступа в облаке и как взять их под контроль.

Новая среда — новые угрозы

Фундаментальная проблема, с которой сталкиваются организации при переходе в облако, заключается в изменении поверхности атак.

В «старом мире» физических и локальных ЦОД сетевые ресурсы и администраторы находились в одном и том же физическом расположении или в границах одной сети. В таких средах сетевые ресурсы были защищены от внешних физических угроз по периметру (например, брандмауэры, безопасные веб-шлюзы, WAF и т. д.). Администраторы полностью контролировали свои сетевые ресурсы и, исчерпав другие способы решить проблему, могли ее изолировать, просто подойдя и отключив сервер.

Мир публичного облака сильно отличается. Рабочие нагрузки стали удаленными. Для доступа используется дистанционное подключение через механизмы и API, предоставляемые поставщиком услуг публичного облака. У администраторов больше нет физического доступа к ресурсам. Все операции они выполняют удаленно. При этом хакеры и другие злоумышленники могут подключиться к тем же ресурсам, используя стандартные протоколы, API и способы доступа.

Безопасность рабочих нагрузок зависит от того, у кого есть к ним доступ, и от предоставленных разрешений. Другими словами, права доступа = поверхность атаки.

Требования к скорости разработки приводят к избыточности прав доступа

Суть работы в облаке заключается в возможностях гибкого и быстрого запуска новых продуктов. Скорость и удобство использования облачной среды позволяют добавлять новые ресурсы, динамически увеличивать мощности, развертывать новый код и быстро выводить новые приложения на рынок.

Проблема облачной среды — избыточные права доступа, и этому есть несколько основных причин.

1. Облако работает на пользу бизнесу. Главная цель цифровой трансформации — ускорить вывод решений на рынок, и публичное облако отлично этому способствует. Возможности гибкой и быстрой разработки в облаке, с точки зрения ИТ, как раз и являются показателями эффективности цифровой трансформации. Проблема в том, что ИТ-руководители чаще заботятся о скорости, а не защите облачных сред, из-за чего рабочие нагрузки и данные клиентов оказываются под угрозой раскрытия и утечки.
2. Пользователи часто не знают, какие права доступа им потребуются. Они знают, какую задачу они хотят выполнить, но могут не иметь представления о всех небольших шагах на пути к ее реализации. В результате сотрудники запрашивают намного больше прав доступа, чем требуется. Как следствие, возникает опасный прецедент: компания предоставляет пользователям намного больше полномочий, чем следует, рискуя раскрыть данные приложений, конфигурации сред разработки и их средства безопасности.
3. Администраторы облака не хотят мешать работе компании. Это человеческий фактор. Администраторы предоставляют права, недолго думая.
4. Предоставлять разрешения в облаке легко. Это основная причина и основное объяснение избыточности прав. Операции в облаке часто автоматизированы или основаны на скриптах с приоритетом скорости и удобства использования. В результате раздавать права доступа очень легко, и администраторы делают это, особо не задумываясь.

[Понравилась статья? Подпишитесь на еженедельную рассылку свежих новостей от Radware и получите эксклюзивный доступ к премиум-материалам Radware.]

У каждой компании свои причины, но все они ведут к одному итогу: раздается много ненужных прав доступа. Чем больше предоставленных прав, тем выше вероятность, что какими-то из них могут воспользоваться злоумышленники и это приведет к масштабным утечкам данных. Из-за избыточных прав, неиспользуемых или неконтролируемо используемых, часто возникают крупные уязвимости в системе безопасности, через которые происходят утечки.

Роль «ролей» в избыточности прав

Наибольшие опасения вызывают права на основе ролей. В отличие от традиционных прав на основе «пользователей» и «групп», которые связаны с реальными пользователями (или группами пользователей), права на основе ролей более гибкие и могут назначаться пользователям, приложениям или службам. Согласно исследованию Radware, в облачной среде права на основе ролей составляют около 80% от общего количества избыточных прав.

В отличие от прав пользователя, которые обычно связаны с одним человеком, права на основе ролей может получить кто угодно (или что угодно) на время конкретного сеанса. В облачной учетной записи с помощью прав на основе ролей можно предоставлять пользователям и службам доступ к ресурсам, которого у них обычно нет.

Это удобно, но грозит стать проблемой, если таких пользователей и служб с правами станет слишком много. Появление избыточных прав происходит из-за гибкости ролей и многообразия вариантов их использования.

[Возможно, вам будет интересно: Пример использования решений Radware для защиты публичного облака]

Контроль над избыточностью прав

На недавнем совместном вебинаре представители Radware и AWS обсудили работу облачной системы управления идентификацией и доступом (identity and access management, IAM) и ее защиту от случайного неправильного использования или злоумышленного злоупотребления. Гостем вебинара стал представитель компании Perion Network, одного из постоянных клиентов Radware. Он рассказал, как решения Radware помогли его компании защитить доступ к облаку и улучшить систему безопасности.