Безопасная миграция в облако — это отсутствие сбоев идентификации и правильно настроенная конфигурация

Переходя в облако, предприятию очень важно выбрать модель идентификации с минимальными привилегиями, убрать ненужные права и исключить неправильную конфигурацию, советует на портале eWeek коммерческий директор Ermetic Арик Гомановски.

По данным Gartner, в 2020 г. мировой рынок публичных облачных услуг вырос на 40,7%. Но, несмотря на то, что миграция в облако сейчас — это обычное явление, она может быть сопряжена со сложными этапами, особенно в части безопасности системы и данных. Очевидно, что очень важно понимать, как подойти к решению этой задачи, четко определить поверхность атаки и знать, какие конкретные важнейшие шаги можно предпринять для более эффективной защиты данных. Однако слишком многие компании пропускают их и не используют правильную стратегическую основу, что связано со спешкой при развертывании облаков или внедрении решений. В результате:

• они не могут определить, где находятся ключевые активы;
• они не знают, какие наборы данных уязвимы;
• они не знают, как все — от идентификации до управления — переносится из унаследованных систем в облако.

Вследствие этого повышается уровень риска и увеличивается площадь атаки, которую необходимо защищать. Следует углубиться в детали.

Кризис идентификации

Отправной точкой для безопасной миграции в облако является понимание своей поверхности атаки и уязвимостей, которые она открывает. Исторически сложилось так, что организации решают проблему безопасности путем внедрения брокера безопасности доступа к облаку (cloud access security broker, CASB), который располагается между локальными системами и облаком и выполняет роль регулятора трафика для данных, проходящих через сеть. CASB помогает защитить доступ конечных пользователей к SaaS-приложениям.

Конечно, CASB — это не единственное решение. Для защиты частных приложений, работающих на AWS, Azure и GCP, появились инструменты Cloud Security Posture Management (CSPM), позволяющие обнаружить неправильную конфигурацию, например, открытые базы данных.

Однако CSPM не решает проблему атак, связанных с личностями и их правами. Например, около 80% облачных разрешений совершенно не нужны. Эта проблема часто касается распределенных бизнес-подразделений и географических локаций. Более того, по мере увеличения количества заинтересованных сторон в облаке, а также разрозненных облаков и теневых ИТ, сложности и риски возрастают — иногда экспоненциально.

Важно проводить различие между SaaS-приложениями и облачной инфраструктурой, а именно IaaS и PaaS. Как правило, приложения SaaS считаются более безопасными, поскольку поставщик облачных услуг отвечает за безопасность инфраструктуры и ее конфигураций. В то время как за безопасность IaaS и PaaS отвечает организация конечного пользователя.

Рассмотрим риски и проблемы безопасности, связанные с защитой облачной инфраструктуры в AWS, GCP, Azure и других облаках.

Модель идентификации с наименьшими привилегиями

Важно признать важнейший факт: риск — это не мера достижения совершенства, а прагматическая оценка реальных опасностей, с которыми предприятие сталкивается в каждый конкретный момент. Невозможно достичь среды с нулевым риском, если только не остановить бизнес. Важно также понимать, что хотя поставщики облачных услуг берут на себя определенную ответственность за безопасность, основная ответственность за защиту своих систем и данных ложится на организацию.

Так что же предпринять? Очень важно работать в рамках модели идентификации с наименьшими привилегиями, избавляться от ненужных прав доступа и следить за тем, чтобы конфигурация была правильно настроена. Такой подход можно считать лучшей практикой гигиены безопасности и он должен распространяться на всю облачную среду. В ней нужно просматривать мультиоблачные активы и права доступа, определять приоритеты, исправлять рискованные привилегии, внедрять более строгие стандарты управления и соответствия и, в конечном итоге, радикально уменьшать поверхность атаки и риск латерального перемещения атак.

Когда организация достигает такого уровня наблюдаемости и автоматизации, она может переключиться с реактивного режима на проактивный. Работа в облаке перестает быть исключительно прерогативой специальных инструментов безопасности, которые могут обнаружить или не обнаружить проблемы. Вместо этого организация может автоматизировать и улучшить конфигурацию облака и управление идентификацией в рамках всей инфраструктуры. В конечном итоге, такой подход устраняет двух основных виновников проблем с безопасностью при миграции в облако: сбои в идентификации и неправильно выставленную конфигурацию.

Хотя избавиться от всех рисков невозможно, внимание к идентификационным данным, их правам и конфигурациям обеспечивает максимальный уровень защиты.