Siber suçlular, yanlış yapılandırmalar, yetersiz kimlik doğrulama uygulamaları, yama uygulanmamış güvenlik hataları veya kurumsal kaleye açılan diğer gizli kapılar olsun, erişim yönetiminde her zaman kör noktalar ararlar. Şimdi, kuruluşlar buluta modernleşme sürüklenmeye devam ederken, kötü aktörler ortaya çıkan bir fırsattan yararlanıyor: kuruluşların bulut sağlayıcılarının kimlik ve erişim yönetimi (IAM) katmanlarını kullanma biçimindeki erişim kusurları ve yanlış yapılandırmalar.
10 Ağustos Çarşamba günü Black Hat USA’de “Kapıyı Çalan IAMErmetic’in araştırma başkanı Igal Gofman, ortaya çıkan bu risk sınırına ilişkin bir görüş sunacak. “Savunucuların, yeni çevrenin eskisi gibi ağ katmanı olmadığını anlaması gerekiyor. Şimdi gerçekten IAM – her şeyi yöneten yönetim katmanı” diyor Dark Reading.
Karmaşıklık, Makine Kimlikleri = Güvensizlik
Bulut IAM’yi uygularken güvenlik ekiplerinin karşılaştığı en yaygın tuzak, ortamın katıksız karmaşıklığını fark etmemek olduğunu belirtiyor. Buna, hizmet olarak yazılım (SaaS) uygulamalarının oluşturduğu balonlaşan izinlerin ve erişim miktarının anlaşılması da dahildir.
Gofman, “Rakipler, kimlik avı veya başka bir yaklaşımla token’lara veya kimlik bilgilerine el koymaya devam ediyor” diye açıklıyor. “Bir zamanlar, bunlar saldırgana yerel bir makinede olduğundan daha fazlasını vermiyordu. Ancak şimdi, bu güvenlik belirteçleri çok daha fazla erişime sahip, çünkü son birkaç yılda herkes buluta geçti ve daha fazla erişime sahip oldu. bulut kaynakları.”
Karmaşıklık sorunu, insanların aksine her zaman çalışan makine varlıkları söz konusu olduğunda özellikle keskindir. Bulut bağlamında, API anahtarlarını kullanarak bulut API’lerine erişmek için kullanılırlar; sunucusuz uygulamaları etkinleştirin; güvenlik rollerini otomatikleştirin (yani, bulut erişim hizmeti komisyoncuları veya CASB’ler); Hizmet hesaplarını kullanarak SaaS uygulamalarını ve profillerini birbirleriyle entegre edin; ve dahası.
Ortalama bir şirketin artık yüzlerce bulut tabanlı uygulama ve veri tabanı kullandığı göz önüne alındığında, bu makine kimlikleri yığını, kuruluşların altyapılarını destekleyen, görünürlük kazanması zor ve bu nedenle yönetilmesi zor olan, iç içe geçmiş son derece karmaşık bir izinler ve erişim ağı sunar. Gofman diyor. Bu yüzden düşmanlar bu kimlikleri giderek daha fazla sömürmeye çalışıyorlar.
“Dahili olarak farklı kaynaklara ve farklı hizmetlere erişimi olan insan dışı kimliklerin kullanımında bir artış görüyoruz” diye belirtiyor. “Bunlar diğer hizmetlerle konuşan hizmetler. İzinleri var ve genellikle insanlardan daha geniş erişime sahipler. Bulut sağlayıcıları, kullanıcılarını bunları kullanmaya zorluyor çünkü temel düzeyde daha güvenli olduklarını düşünüyorlar. Ancak, bazıları var. bu insan dışı kimlikleri kullanan ortamları tehlikeye atmak için kullanılabilecek sömürü teknikleri.”
Yönetim izinlerine sahip makine varlıkları, düşmanların kullanması için özellikle çekici, diye ekliyor.
“Bu, özellikle Azure’da siber suçluların hedef aldığını gördüğümüz ana vektörlerden biri” diye açıklıyor. “Onları IAM içinde nasıl yöneteceğinize dair samimi bir anlayışınız yoksa, bir güvenlik açığı sunuyorsunuz.”
Bulutta IAM Güvenliği Nasıl Artırılır
Savunma açısından bakıldığında, Gofman, kuruluşların bulutta etkili IAM uygulama sorununu çözmek için sahip oldukları birçok seçeneği tartışmayı planlıyor. Birincisi, kuruluşlar, ortamda kimin ve neyin var olduğuna dair kapsamlı bir görünüm oluşturmak için bulut sağlayıcılarının günlük kaydı özelliklerinden yararlanmalıdır.
“Bu araçlar aslında yaygın olarak kullanılmazlar, ancak ortamınızda neler olup bittiğini daha iyi anlamak için iyi seçeneklerdir” diye açıklıyor. “Saldırı yüzeyini azaltmak için günlüğe kaydetmeyi de kullanabilirsiniz, çünkü kullanıcıların tam olarak ne kullandığını ve hangi izinlere sahip olduklarını görebilirsiniz. Yöneticiler ayrıca belirtilen politikaları belirli bir altyapıda gerçekte kullanılanlarla da karşılaştırabilir.”
Ayrıca, en iyi üç genel bulut sağlayıcısından (Amazon Web Hizmetleri, Google Bulut Platformu ve Microsoft Azure) farklı IAM hizmetlerini ve hepsi biraz farklı olan güvenlik yaklaşımlarını parçalamayı ve karşılaştırmayı planlıyor. Çoklu bulut IAM, farklı sağlayıcılardan farklı bulutlar kullanan şirketler için ek bir sorundur ve Gofman, sundukları araçlar arasındaki ince farkları anlamanın, savunmaları desteklemek için uzun bir yol kat edebileceğini belirtiyor.
Kuruluşların altyapı genelinde daha iyi görünürlük elde etmek için çeşitli üçüncü taraf, açık kaynak araçlarını da kullanabileceğini belirterek, kendisinin ve Ermetic’te araştırma lideri olan yardımcı sunucusu Noam Dahan’ın bir seçeneği tanıtmayı planladığını da sözlerine ekledi.
Gofman, “Bulut IAM çok önemli” diyor. “Tehlikeler, kullanılabilecek araçlar ve hangi izinlerin kullanıldığını ve hangi izinlerin kullanılmadığını ve yöneticilerin kör noktaları nasıl ve nerede belirleyebileceğini daha iyi anlamanın önemi hakkında konuşacağız.”