Уязвимости облачной инфраструктуры

Автор оригинала: Tj Blogumas
  • Перевод


Вы уже много слышали о том, как удобно использовать облака и удалённый формат работы для того, чтобы сохранить или даже развить бизнес. Cloud4Y предлагает поговорить о том, как обеспечить защиту нового формата работы.

Итак, чтобы не стать жертвой кибератаки, защитите ИТ-инфраструктуру с помощью этих нехитрых советов.


Для меня как человека, работающего в финансовой сфере, IT-безопасность является важным элементом при написании каждой строчки кода. Количество тестов безопасности и дополнительных издержек всего процесса просто безумно по сравнению с моими предыдущими местами работы. Хотя я не думаю, что всё это плохо, но есть определенные трудности с автоматизацией этих тестов, чтобы включить их в облачно-ориентированный конвейер непрерывной сборки и развертывания приложений (CI/CD). Впрочем, можно выделить целый ряд общих политик безопасности и тестов, которые помогут предотвратить некоторые распространенные ошибки при внедрении облака.

Какие дополнительные угрозы безопасности потенциально могут появиться при размещении приложения в облаке? Опишем шесть из них:

  1. Нарушение конфиденциальности данных;
  2. Неверная настройка и неадекватный контроль изменений;
  3. Отсутствие стратегии безопасности в облаке и архитектуры системы безопасности;
  4. Недостаточность процедур идентификации, разделения прав и контроля доступа;
  5. Взлом и похищение аккаунтов;
  6. Внутренние угрозы

Угроза 1. Нарушение конфиденциальности данных




В чем угроза?

Чувствительная и конфиденциальная информация может быть опубликована, просмотрена, или украдена посторонним лицом.

Что может быть причиной

  • Целевая атака
  • Человеческая ошибка
  • Уязвимости приложений
  • Отсутствие мер безопасности

Специфика облака

  • Большая поверхность атаки из-за разделяемых и общих ресурсов
  • Поставщики облачных услуг часто становятся привлекательной целью для хакеров из-за популярности и огромного объёма хранимых данных
  • Действует распределение ответственности, когда за безопасность данных отвечает клиент, а облачный провайдер отвечает только за доступность инфраструктуру и инструментов.

Схема атаки



Рекомендации и меры по защите

  • Защита в глубине – создание защиты в клиентском облаке;
  • Принцип наименьших привилегий;
  • Введение процедур мониторинга и журналирования в облаке;
  • Надёжный и проверенный план реагирования на инциденты;
  • Шифрование может помочь защитить данные, но негативно влияет на производительность системы.

Угроза 2. Неверная конфигурация и неадекватный контроль




«Почти все успешные атаки на облачные сервисы являются результатом неправильной клиентской настройки, неверного управления или ошибок». — Нил Макдональд, аналитик Gartner.

Специфика облака

Неправильно настроенные облачные серверы, в том числе:

  • Общедоступное облачное хранилище
  • Незащищенные облачные базы данных
  • Ненадлежащим образом защищенные резервные копии
  • Открытое сетевое хранилище, подключенное к интернету

 Рекомендации и меры защиты

  • Полное описание жизненного цикла инфраструктуры
  • Гибкое, проактивное управление облаком
  • Шифрование конфиденциальных данных
  • Журналирование изменений конфигурации

Угроза 3. Отсутствие стратегии облачной безопасности и архитектуры системы безопасности




В чем угроза?

Отсутствие соответствующей архитектуры облачной безопасности делает организации уязвимыми для атак.

Факторы, способствующие угрозе:

  • Для безопасной облачной архитектуры требуются новые возможности и новые инструменты.
  • Организации приходится изучать новые технологии, когда дело доходит до внедрения облака.

Специфика облака

  • Используются новые, а потому сложные технологии;
  • Необходима новая модель безопасности в гибридной облачной среде;
  • Необходим правильный баланс между инновациями и контролем;
  • Отсутствует эталонная архитектуры и документация.

Рекомендации и меры защиты

  • Обеспечьте соответствие архитектуры безопасности целям и задачам бизнеса.
  • Разработайте и внедрите структуру архитектуры безопасности.
  • Убедитесь, что модель угроз постоянно обновляется.
  • Обеспечьте непрерывную видимость фактического состояния безопасности.

Угроза 4. Недостаточность процедур идентификации, разделения прав и контроля доступа




В чем угроза?

Несанкционированный доступ к конфиденциальным данным из-за отсутствия защиты через управление идентификацией и доступом (IAM).

Инциденты безопасности происходят из-за:

  • Неадекватной защиты учетных данных.
  • Отсутствие регулярной автоматической ротации криптографических ключей, паролей и сертификатов.
  • Отсутствие масштабируемых систем управления доступом к идентификационным данным.
  • Отказ от использования многофакторной аутентификации и надёжных паролей.

Специфика облака

С помощью украденных ключей или учётных данных злоумышленники могут:

  • Читать, отфильтровывать, изменять и удалять данные
  • Получить привилегий уровня управления и контроля
  • Наблюдать за передаваемыми данными
  • Внедрить вредоносное программное обеспечение, маскируя его как приобретенное из законных источников

Рекомендации и меры защиты

  • Используйте временные учётные данные безопасности (роли AWS IAM) вместо долгосрочных ключей доступа
  • Не вставляйте ключи доступа непосредственно в код. Используйте разные ключи для разных приложений
  • Периодически меняйте ключи
  • Удалите неиспользуемые ключи доступа
  • Настройте многофакторную аутентификацию для наиболее важных задач.

Угроза 5. Взлом и похищение аккаунтов




В чем угроза?

Злоумышленники получают доступ к учётными записями с высокими привилегиями или конфиденциальными данными.

Что может быть причиной:

  • Недостаточные меры по идентификации и управлению доступом (IAM).
  • Отсутствие журналов, мониторинга и оповещения на уровне учетной записи.
  • Отсутствие защиты в клиентском облаке (глубокой защиты)
  • Отсутствие защиты от фишинга и эксплуатации похищенных учетных данных.

Специфика облака

  • Велика вероятность получить учетные записи облачных служб и сервисов.
  • Неопределенность проистекает из модели доставки облачных услуг.
  • Данные и приложения находятся в облачных службах, которые доступны по облачной учетной записи или подписке.
  • Вероятность потери данных/активов и скомпрометированные операции
  • Потенциальная ликвидация активов, данных и возможностей организации

Рекомендации и меры защиты

  • Внедрение надёжного метода проверки подлинности для пользователей облачных приложений, включая единый вход и многофакторную аутентификацию
  • Разделение административных обязанностей между несколькими учетными записями IAM с разными обязанностями: например, учетная запись, которая может создавать резервные копии, не может удалять резервные копии.
  • Создание автономной резервной копии для критических данных
  • Ограничение IP-адресов, разрешенных для доступа к облачным приложениям

Угроза 6. Внутренние угрозы




В чем угроза?

Потенциально сотрудник может (злонамеренно или случайно) негативно повлиять на организацию. Пример — инсайдеры, представители компании, имеющие прямой доступ к сетям, компьютерным системам и конфиденциальным данным.



Рекомендации и меры защиты

  • Ограничьте радиус возможного влияния с помощью политик идентификации и доступа (IAM) и наименьших привилегий.
  • Предотвратите «непреднамеренные действия инсайдеров».
  • Обеспечьте для сотрудников по умолчанию безопасную среду работы
  • Автоматизированное управление конфигурацией, инициализации и защиты.
  • Внедрение новых возможностей мониторинга и обнаружения для облачных сред (SaaS / PaaS / Iaas).
  • Разработайте план обеспечения непрерывности бизнеса.

Что ещё полезного можно почитать в блоге Cloud4Y

Компьютерные бренды 90-х, ч.3, заключительная
Какова геометрия Вселенной?
Пасхалки на топографических картах Швейцарии
Как мама хакера проникла в тюрьму и заразила компьютер начальника
Как «сломался» банк

Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем не чаще двух раз в неделю и только по делу.
Cloud4Y
#1 Корпоративный облачный провайдер

Комментарии 0

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое