Cand vine vorba de cloud, cauza numarul unu pentru bresele de securitate sunt greselile de configurare. Potrivit acestui studiu realizat de Gartner, 99% din problemele de securitate din cloud vor fi asociate cu erorile facute de operatorii umani.
Cele mai frecvent intalnite erori de configurare sunt:
- Politici de acces prea permisive
- Configurarea gresita a obiectelor de stocare
- Lipsa criptarii
- Nerestrictionarea traficului inbound/outbound
- Neimplementarea mecanismelor de logging si monitorizare
Politici de acces prea permisive.
Problema
In cloud trebuie implementat principiul privilegiului minim care enunta ca un utilizator trebuie sa aiba doar permisiunile necesare pentru a-si indeplini sarcinile de zi cu zi. Implementarea defectuoasa a politicii de IAM (Identity and Access Management) va duce la incidente de securitate pentru ca un angajat va putea sa configureze in mod eronat alte resurse, desi nu ar trebui sa aiba acces la ele in mod normal. Sau un atacator poate compromite contul unui angajat si poate profita de pe urma permisiunilor prea largi pentru a patrunde si mai adanc in infrastructura din cloud a organizatiei.
Solutia
Limitarea accesului la nivelul privilegiului minim pentru fiecare utilizator si eliminarea conturilor cu privilegii de administrator/root care nu sunt absolut necesare. Folosirea grupurilor de utilizatori care sa aiba reguli de acces si privilegii bine definite. Includerea utilizatorului in grupul corespunzator ii va oferi drepturile necesare, minimizand riscul asociat cu asignarea manuala a permisiunilor.
Configurarea gresita a obiectelor de stocare
Problema
Obiectele de storage specifice cloud-ului pot fi accesate in mod nerestrictionat direct din Internet. Exista tool-uri disponibile oricui care sa permita, de exemplu, scanarea obiectelor de tip S3 Bucket din cloud-ul Amazon, pentru a gasi acele elemente care au configurat accesul public. Accesul public poate fi de tipul READ – oricine putand citi informatia continuta in obiect sau de tipul WRITE – care poate permite oricui sa scrie in acel obiect informatie suplimentara precum malware de tip ransomware sau backdoor.
Solutia
Folosirea listelor de control al accesului (ACL) care sa blocheze accesul public la obiectul de storage. Un ACL este un tool de securitate care specifica nivelul de acces pe care un cont il are asupra unui bucket S3.
Lipsa criptarii
Problema
Datele stocate in cloud sunt gazduite de mai multe entitati precum S3 buckets, discurile masinilor virtuale sau baze de date. Criptarea datelor ofera confidentialitate si ease of mind pentru administratori pentru ca face nepractic procesul de reverse engineering daca cineva reuseste sa obtina acele date in mod neautorizat. Unele organizatii sunt obligate sa foloseasca mecanisme de criptare pentru a respecta anumite reglementari specifice industriei in care activeaza.
Solutia
Implementarea mecanismelor de criptare si a algoritmilor criptografici recomandati de furnizorul de cloud. De exemplu:
- Criptarea obiectelor din Amazon S3 in mod implicit folosind Amazon SSE-S3 sau SSE-KMS
- Criptarea bazelor de date care gazduiesc informatii „at rest” cu AES256
- Criptarea discurilor virtuale pentru instantele critice pentru a evita stocarea in plain-text a datelor
Nerestrictionarea traficului inbound/outbound
Problema
Intr-un mediu cloud traficul poate sa intre dinspre Internet inspre infrastructura prin porturi TCP/UDP deschise in mod nenecesar ce ofera atacatorilor o usa de intrare sau traficul poate sa iasa spre Internet ceea ce ii poate permite unui atacator care se afla deja inauntru sa exfiltreze date sau sa contacteze servere de C&C de unde sa descarce malware pe care sa il distribuie apoi in interiorul retelei.
Solutia
Asigura-te ca doar porturile absolut necesare accepta conexiuni din Internet si foloseste ACL-uri care limiteaza accesul doar de la anumite adrese IP. Daca este nevoie de acces de la distanta la resursele din cloud, foloseste un sistem de tip bastion care permite accesul in reteaua privata din cloud dintr-o retea externa cum ar fi Internetul.
Neimplementarea mecanismelor de logging si monitorizare
Problema
Toate lucrurile pe care cineva le face in infrastructura cloud ar trebui inregistrate pentru ca astfel:
- Se pot identifca greseli si erori de configurare
- Se ofera o trasabilitate pentru actiunile efectuate (cine, cand si de unde s-a executat un task)
- Se poate observa activitatea suspecta
Solutia
Activarea serviciului de logging ajuta la imbunatatirea posturii de securitate si la respectarea cerintelor de complianta din anumite industrii (financiar, instituii de stat). Monitorizarea resurselor poate ajuta organizatia in optimizarea costurilor platite catre furnizorul de cloud si in dimensionarea corecta a bazelor de date, a numarului de instante de calcul, in general a resurselor utilizate in cloud luna de luna.
De asemenea, evenimentele semnificative ar trebui sa trimita alerte pentru a putea notifica persoanele de interes si pentru a grabi viteza de reactie in caz de probleme de operare sau incidente de securitate.
Auditarea periodica a infrastructurii folosita in cloud poate scoate la suprafata greseli in configurarea resurselor consumate de organziatie si poate propune masuri de corectie si de optimizare. Dendrio, ca integrator hibrid multicloud, va poate ajuta cu o evaluare a arhitecturii cloud pe care o utilizati si va poate face recomandari pentru a elimina eventualele vulnerabilitati identificate.
Mihai Dumitrascu, Sr Systems Engineer
