Bulutun yükselişi, işletmeleri daha çevik, esnek ve modern hale getirdi; bunların tümü, işletmelerin %90’ından fazlasının çoklu bulut stratejisini benimsemesinin sağlam nedenleridir. Ancak karmaşıklık, sırların sızdığı yerlerde dikişler oluşturur. Microsoft’ta ve havaalanlarında son zamanlarda meydana gelen yüksek profilli ihlaller, yanlış yapılandırılmış S3 klasörlerini bir siber güvenlik kinayesi haline getirdi. Bununla birlikte, yapılandırma sorunları tek sorun değil: Son rakamlara göre erişim sürünmesi de aynı derecede tehlikeli ve yaygın.
Aşırı yetkilendirme, bir hizmet veya hesap, genellikle daha sonra ihtiyaç duyulursa geri dönüp yeni izinler istemek zorunda kalmamak için, muhtemelen kullanabileceği tüm izinleri talep ettiğinde veya gerektirdiğinde gerçekleşir. Bu, tek sunucu düzeyinde bile harika bir durum olmaz, ancak çeşitli hizmetler ve satıcılar etkileşimde bulunurken, her biri kendi yüksek düzeyde izin verdikçe, uzlaşma şansı artar.
onun içinde yıl sonu özeti 2022 için bulut güvenlik şirketi Permiso, bulut güvenliği duruş yönetimi (CSPM) satıcılarının kullandığını bildirdi sadece %11 verdikleri izinlerdir. Bu, tüm kullanıcılar ve roller genelinde %5,3’e kadar küçülür. Bu, kimsenin açmaya ihtiyaç duymadığı bir sürü kilitli kapı.
Analizinin sonuçları, Amazon Web Services, Microsoft Azure, Google Cloud Platform ve vSphere’deki kimliklerin %90 ila %95’inin %2’den %5’e kadar kullandığını tespit eden iki yıl önceki bir CloudKnox anketinin sonuçlarıyla çelişiyor. Verilen izinlerin yüzdesi.
“Çoğu ekip, bu sırların yalnızca kendilerine sağlanan kişiler veya iş yükleri tarafından kullanıldığını varsayar, ancak gerçekte, bu sırlar genellikle paylaşılır, nadiren döndürülür, uzun ömürlüdür ve tek kullanımlık değildir, yani tıpkı şifreler gibi, Permiso ekibi, yaşlandıkça daha savunmasız hale geliyorlar” diye yazdı.
Ve sorun da burada yatıyor. Kuruluşlar genellikle insan kullanıcılar için izin ayarlama konusunda oldukça katıdır, ancak makine kimlikleri için istenen varsayılan izinlere izin verme eğilimindedirler. Bu, tehdit aktörlerinin kurumsal bulutun çoğu üzerinde ayrıcalıklı erişim elde etmek için yalnızca aşırı geniş izin verilen bir hesaba girmenin bir yolunu bulması gereken bir duruma yol açar.
Kubernetes yönetişim hizmeti FairWinds’in başkanı Kendall Miller, “Veritabanınızı mükemmel bir şekilde kilitlemiş olabilirsiniz, ancak bu veritabanına erişimi olan bir hizmetin herkesin girmesi için izinleri varsa, veritabanınızın güvenliği ihlal edilmiş demektir.” 2021’de.
Ve 2022 yılı için Permiso, yanlış yapılandırılmış bir bulut kaynağından ziyade, “tespit ettiğimiz ve yanıtladığımız tüm olayların, güvenliği ihlal edilmiş bir kimlik bilgilerinin sonucu olduğunu” açıkça ilan etti.
Bu riski yönetmenin anahtarı, izinleri denetlemek ve yalnızca insanlar için değil, tüm kullanıcılar için güçlü kimlik erişim yönetimi (IAM) politikaları oluşturmaktır. Bu, bir uygulamanın gerçekte hangi verilere erişmesi gerektiğini ve neye ihtiyaç duymadığını belirlemekle başlar. Bir yazılım kuruluş şeması, uygulamalar arasındaki erişim yollarının izlenmesinde ve izinlerin atanmasında veya kısıtlanmasında yardımcı olabilir.
