Ok, organizatia ta a inceput sa adopte tehnologia cloud si sa profite de avantajele acesteia. Aveti cateva instante de masini virtuale care ruleaza workload-uri si aplicatii, un grup de autoscalare pentru a acomoda varfurile de activitate, ceva storage atasat, poate si cateva baze de date. O data ce infrastructura din cloud este provizionata, aceasta trebuie sa fie operata de catre departamentul IT in vederea efectuarii operatiunilor de mentenanta, monitorizare si optimizare. Cine poate accesa aceste resurse si servicii si ce poate modifica in configuratia lor? Cum poate fi accesat cloud-ul intr-un mod securizat care sa minimizeze expunerea in fata atacurilor cibernetice?
Toti furnizorii majori de cloud (Amazon AWS, Microsoft Azure, Google Cloud Services) pun la dispozitia clientilor serviciul de IAM – Identity and Access Management prin care se poate controla accesul la resursele si serviciile folosite de o organizatie in cloud. Cu ajutorul IAM se pot crea utilizatori pentru accesul la consola de management din cloud, acestor utilizatori li se poate acorda anumite permisiuni, iar utilizatorii cu permisiuni similare pot fi adaugati in grupuri de useri. IAM poate fi folosit si la asignarea de roluri pentru resursele din cloud care folosesc anumite servicii. De exemplu, o masina virtuala poate avea un rol IAM atasat care sa ii permita sa acceseze un anumit storage din cloud sau o anumita baza de date.
IAM (Identity and Access Management) ofera:
- autentificare multifactor – IAM adauga inca un nivel de protectie prin implementarea unui factor aditional de autentificare. Pe langa numele de utilizator si parola, trebuie furnizat si un cod de autentificare furnizat fie de o aplicatie mobile compatibila (Microsoft Authenticator, Google Authenticator, LastPass Authenticator, Duo Mobile sau Authy), fie de un dispozitiv fizic third-party (de exemplu cheile de securitate oferite de Yubico, Gemalto sau SurePassID)
- control granular la resurse, servicii si API-uri: printr-o politica de IAM se pot impune mai multe conditii de acces la resurse precum: momentul de timp la care se face accesul, adresa IP de la care se face accesul, daca se foloseste o conexiune securizata SSL, sau daca s-a facut o autentificare multifactor
- integrarea cu sisteme de management al utilizatorilor deja existente, cum ar fi Microsoft Active Directory sau integrarea cu provideri de identitate third-party ca Okta, Google Workspace, Auth0 sau OneLogin folosind standardul SAML 2.0
- rapoarte si statistici pentru functia de auditare: prin monitorizarea continua a cererilor de acces in cloud se poate determina daca cineva neautorizat are acces la resurse sau daca exista permisiuni atribuite unui utilizator care nu sunt folosite. Astfel se pot modifica politicile de access, minimizand suprafata de atac din cloud.
Furnizorii de cloud ofera organizatiilor o lista de lucruri pe care le pot face pentru a securiza si mai bine accesul la resursele din cloud:
- folosirea conturilor de acces individuale: crearea de conturi cu permisiuni bine definite pentru fiecare utilizator in parte
- evitarea folosirii contului de root in activitatile de zi cu zi pentru a minimiza riscul de a compromite acest cont cu privilegii depline asupra infrastructurii cloud
- folosirea grupurilor de utilizatori pentru gestionarea mai usoara si mai eficienta a conturilor de acces
- implementarea principiului de “least privilege”: un cont de acces trebuie sa aiba doar atatea privilegii cat sa isi poate indeplini atributiile si nimic in plus
- implementarea unei politici de creare a parolelor
- implementarea unui factor aditional de autentificare prin MFA
- schimbarea periodica a parolelor si a cheilor de acces la resurse
- impunerea de constrangeri suplimentare care trebuie satisfacute pentru a dobandi acces la resurse
- activarea functiei de auditare pentru a respecta standardele de complianta pentru a colecta informatii si loguri despre cine s-a conectat in cloud, de unde a facut acest lucru, ce resursa a fost accesata, cand s-a facut conectarea. Se poate detecta astfel orice activitate neobisnuita, printre care si exfiltrarea de date din cloud.
Pe masura ce organizatia isi muta tot mai multe resurse in cloud, acestea trebuie sa fie securizate. Atacurile cibernetice vizeaza din ce in ce mai mult datele si aplicatiile care ruleaza in cloud. Accesul la resursele din cloud ale organizatiei trebuie sa se faca intr-o maniera bine definita si controlata de o politica stricta de acces care trebuie urmata de toate persoanele care au atributii de indeplinit in infrastructura cloud. Inginerii Dendrio va pot ajuta sa implementati politicile de Securitate.
Mihai Dumitrascu, Sr Systems Engineer