Identità: il tessuto connettivo per la sicurezza nel cloud
Quasi tutto nel cloud è a rischio di esposizione a causa di un solo privilegio o una sola configurazione errata. Un'adeguata gestione della postura e dei diritti può aiutare a mitigare il rischio ed eliminare le combinazioni dannose.
Quando si implementa e si configura una soluzione di sicurezza cloud, è facile sentirsi sopraffatti dall'enorme volume di "cose" da monitorare. Queste includono le applicazioni web in esecuzione sull'infrastruttura Kubernetes, tra cui le risorse IaaS e di container, nonché le identità, relative sia a persone sia a macchine, e altro ancora. I team responsabili della sicurezza cloud devono gestire l'identità di servizio di ogni risorsa, oltre a eseguirne la scansione per rilevare vulnerabilità e configurazioni errate. L'elevato numero di cose da monitorare, spinge spesso le organizzazioni a cercare strumenti e soluzioni mirate per contrastare questi vettori di minacce. Molte di queste si sono ritrovate con innumerevoli acronimi di sicurezza nei propri ambienti e, di conseguenza, hanno accumulato costi enormi nel tentativo di configurare e implementare tutti questi prodotti diversi.
Spesso, ogni strumento genera la sua pletora di risultati sulla sicurezza e applica metriche del livello di gravità differenti. Pertanto, anche con strumenti tecnicamente avanzati, i team di sicurezza devono ritornare all'inferno dei fogli di calcolo per cercare di riconciliare tutti i risultati e stabilirne la priorità.
L'importanza di proteggere le idendità nel cloud
Per implementare una strategia di sicurezza più efficace, è necessario isolare l'obiettivo degli autori di minacce quando violano l'infrastruttura cloud. Recentemente, è diventato chiaro che quasi tutte le violazioni del cloud sfruttano le identità e i diritti configurati in modo errato. L'indagine dell'Identity Defined Security Alliance (IDSA) "2022 Trends in Securing Digital Identities" ha rilevato che l'84% delle aziende ha subito una violazione relativa all'identità nei 12 mesi coperti dallo studio. Il motivo? Non solo le identità sono così profondamente collegate a tutto quello che eseguiamo e creiamo nel cloud, ma anche tutto ciò che eseguiamo e creiamo nel cloud è un problema molto complesso da risolvere. Quando si cerca di capire quali sono realmente i rischi associati alla gestione delle identità, entrano in gioco molte variabili.
A prescindere dal fatto che tu abbia un'istanza Amazon EC2 con vulnerabilità sfruttabili note oppure un'infrastruttura non configurata correttamente servita manualmente o tramite codice, quando vengono sfruttate le esposizioni nel cloud, gli utenti malintenzionati attaccano immediatamente un'identità. Testano i diritti per muoversi lateralmente o intraprendere l'escalation dei privilegi nel tentativo di accedere a dati sensibili o altre risorse. L'identità è il perimetro nel cloud e, vista l'ampia portata del suo impatto, la protezione delle identità e dei diritti dovrebbe essere alla base di un programma per la sicurezza cloud olistico.
Identità del servizio e identità delle persone
Quando si proteggono le identità, è importante capire la differenza tra identità del servizio e delle persone, oltre ai diversi approcci per proteggerli, in modo da garantire il principio di privilegio minimo. Le identità del servizio hanno il compito di servire i carichi di lavoro e funzionare in modo coerente e su base prevedibile. Valutare quali autorizzazioni sono assegnate e quali sono realmente utilizzate è importante per capire le "autorizzazioni effettive". Poiché le identità del servizio sono programmate per uno scopo specifico e i requisiti cambiano spesso, è possibile ridimensionare le autorizzazioni al minimo indispensabile in base all'attività: il principio di privilegio minimo.
In contrasto, le identità delle persone sono fatte per essere utilizzate da utenti reali. Questo le rende imprevedibili e diventa difficile dimensionare le autorizzazioni correttamente per risorse e azioni spechifiche, in particolare quando si presentano attività ad hoc. Per agire nella strategia Zero Trust, la chiave è implementare un programma di accesso JIT (just-in-time) integrato. Nessuna organizzazione può eliminare completamente tutto l'accesso al cloud da parte di persone. Non è realistico. Ecco un modo di ridurre significativamente i rischi associati alle identità delle persone: consenti ai team DevOps di richiedere in modo programmato l'accesso a breve termine al cloud per compiti specifici in ambienti critici e assicurati che questo flusso di lavoro con accesso a breve termine sia integrato allo strumento di comunicazione in uso, come Slack, Microsoft Teams e altro.
I programmi di sicurezza che non tengono conto di queste differenze possono creare difficoltà e contrasti tra i team DevOps e IT. Mantenere la promessa DevSecOps significa garantire che la sicurezza sia incorporata nei flussi di lavoro in modo scalabile. È qui che gli strumenti CIEM (Cloud Infrastructure Entitlement Management) e CNAPP (Application Protection Platforms) integrati possono entrare in gioco. L'integrazione tra questi strumenti può offrire visibilità e controllo sull'infrastruttura cloud, su Kubernetes, sui container, sull'IaC (infrastructure as code), sulle identità, sui carichi di lavoro e altro ancora.
Le caratteristiche da cercare nelle soluzioni di sicurezza CNAPP e CIEM sono le seguenti:
- Approfondimento e visualizzazione dei diritti: come sostiene un vecchio detto sulla sicurezza, non puoi proteggere ciò che non vedi. La visibilità multi-cloud delle risorse, delle autorizzazioni e delle loro attività è un punto di partenza essenziale.
- Valutazione del rischio continua: devi continuamente monitorare l'ambiente cloud per rilevare e valutare i fattori di rischio come l'esposizione della rete, le configurazioni errate, le autorizzazioni rischiose, l'esposizione di segreti e le minacce relative all'identità, incluso l'accesso ai dati anomalo.
- Imposizione del principio di privilegi minimi: gli strumenti integrati dovrebbero essere in grado di automatizzare delle barriere di autorizzazioni mediante policy di privilegi minimi.
- Correzione semplificata: se sai dove sono i rischi, dovrebbe essere semplice correggerli nello strumento, con l'opportunità di automatizzare quando è importante per la tua strategia di sicurezza.
- Controllo dell'accesso basato sullo sviluppo: elimina l'ostacolo della sicurezza per i team DevOps con strumenti che consentano di integrare la sicurezza nei loro flussi di lavoro.
Combattere l'accumulo di avvisi con il contesto
Sebbene molti team di sicurezza passino il tempo a mettere a punto controlli e policy per contrastare il sovraccarico di avvisi, sarebbe meglio integrare gli strumenti di sicurezza come CNAPP e CIEM in un'unica piattaforma che offra un ampio contesto della supeficie di attacco. Con gli strumenti di sicurezza integrati, sarai in grado di standardizzare cosa significa realmente "critico" e di capire meglio i percorsi di attacco che gli utenti malintenzionati possono sfruttare per causare danni all'ambiente cloud. Inoltre, è molto più semplice eseguire gli aggiornamenti quando vengono scoperti nuovi attacchi zero-day e minacce.
Ad esempio, potresti avere 100 carichi di lavoro accessibili pubblicamente in esecuzione in un ambiente cloud, ma solo 10 sono vulnerabilità critiche e solo cinque di questi hanno vulnerabilità critiche e privilegi elevati. Questo contesto offre ai team di sicurezza informazioni approfondite su dove impegnarsi maggioremente in base a cosa sia più facilmente sfruttabile. Troppo spesso i team di sicurezza cercano di occuparsi di tutti e 100 i carichi di lavoro pubblici perché le soluzioni mirate non hanno l'integrazione e il contesto incentrato sull'identità necessari per affrontare le minacce in modo efficiente.
Le funzionalità integrate per capire il rischio e l'esposizione sono importanti. E hanno senso non solo dal punto di vista dell'infrastruttura o delle vulnerabilità, ma anche come modo di vedere tutto insieme e regolare dinamicamente i punteggi del rischio in base a ciò che sta realmente accadendo nell'ambiente.
Per ulteriori informazioni sulla protezione delle identità nel cloud guarda il webinar on demand "Managing Security Posture and Entitlements in the Cloud".
Articoli correlati
- Active Directory
- Active Directory