Ошибки конфигурации в облаке, угрожающие корпоративным данным, — не новость, а скорее наоборот. Тем хуже, что компании до сих пор не обеспечивают комплексную защиту своих облачных ресурсов. По крайней мере, на это указывает свежий отчет. Для его подготовки поставщик облачной безопасности Qualys опросил 101 специалиста по кибербезопасности и ИТ, в чьи обязанности входит защита облачных сред. Согласно опросу:
- 28 процентов респондентов зафиксировали утечку данных, связанную с облаком или SaaS-приложениями, за последний год.
- 24 процента считают неправильно сконфигурированные сервисы наибольшим риском для своей облачной среды.
В рамках исследования Qualys также изучила около 44 миллионов виртуальных машин (ВМ), размещенных в публичных облаках. Эксперты обнаружили, что 45 процентов ВМ в AWS, 63 процента ВМ в GCP и 70 процентов ВМ в Azure имели неправильно сконфигурированные ресурсы.
Самые частые ошибки конфигурации облака
По словам Аяна Роя, руководителя отдела кибербезопасности в EY Americas, компании действительно активируют некоторые функции облачной безопасности, но не все. Например, логирование, мониторинг и многофакторная аутентификация (MFA) часто остаются без внимания: «Компании хотят двигаться быстро, и время выхода на ценность (Time-to-Value) имеет решающее значение. Но если команды по кибербезопасности не вовлечены в эти решения, начинаются проблемы. В результате специалисты по безопасности часто могут принимать меры только постфактум».
Рой видит еще одно «слепое пятно» в облачной безопасности во время слияний и поглощений. Он призывает компании действовать проактивно в таких случаях: «Проводите комплексную проверку (due diligence), учитывайте ее и убедитесь, что у вас есть правильный план инвестиций в кибербезопасность».
По мнению Скотта Уилера, руководителя практики облачных решений в Asperitas, чем крупнее компания, тем меньше в ней ошибок конфигурации облака. По словам эксперта, это связано в первую очередь с надзором со стороны регулирующих органов. У небольших фирм, напротив, возникают огромные проблемы, поскольку у них нет ни персонала, ни необходимых инструментов для управления рисками, связанными с конфигурацией облака, такими как открытые хранилища (storage buckets) или веб-сервисы.
«Вся концепция нулевого доверия (Zero Trust) основана на том, что можно ограничить доступ до необходимого минимума. Но на практике это трудно реализовать», — объясняет Уилер. Он приводит пример, что во время разработки разрешения часто расширяются, а после запуска не отменяются. Однако самая большая ошибка, которую регулярно наблюдает Уилер, — это базы данных или другие облачные активы, которые обмениваются данными через небезопасные частные сети. «Многие из этих сервисов не поддерживают это «из коробки». Требуется немало усилий, чтобы настроить их так, чтобы частный сетевой трафик шел исключительно в частные облачные или локальные среды. Это большая проблема, которой часто пользуются злоумышленники».
И хотя многие поставщики обещают, что ИИ сделает облачную безопасность проще, дешевле и эффективнее, не стоит рассчитывать, что проблемы с конфигурацией облака исчезнут завтра. Пока ИИ-агенты не смогут надежно взять это на себя, пройдет еще некоторое время.
9 советов по более безопасной конфигурации облака
Тем не менее, вы можете что-то предпринять против ошибочных облачных конфигураций. Например:
1. Внедрить многофакторную аутентификацию
MFA должна применяться для любого доступа к облаку, а не только для определенных пользователей.
2. Использовать частные сети для всех сервисов
Настройте базы данных и облачные сервисы так, чтобы они обменивались данными только через частные сети, а не через публичный интернет.
3. Шифровать данные
Шифрование данных должно быть включено по умолчанию для всех новых и существующих ресурсов. Учитывая приближающуюся квантовую эру, компаниям рекомендуется уже сейчас переходить на квантово-устойчивые алгоритмы шифрования для защиты от так называемых атак типа «собери сейчас, расшифруй потом» (Harvest now, decrypt later).
4. Применять контроль доступа с минимальными привилегиями
Предоставление пользователям и системам доступа к минимально возможному числу ресурсов — краеугольный камень современных принципов безопасности нулевого доверия. Учетные записи с избыточными привилегиями могут быстро привести к потере данных в случае их неправомерного использования.
5. Использовать Infrastructure as Code
Когда администраторы или пользователи вносят изменения в конфигурации облака через консоли управления, их часто бывает трудно отследить, а в случае сбоя — отменить. Принцип Infrastructure as Code (IaC) помогает в этом: используйте соответствующие инструменты управления конфигурацией для проверки, отслеживания и аудита всех изменений на основе политик.
6. Проводить непрерывное сканирование
Проверки актуальности конфигураций только при первоначальной настройке облачных ресурсов недостаточно. Компании должны гарантировать, что ничего не меняется. Для этого некоторые поставщики облачных услуг предлагают нативные инструменты. Решения в области управления состоянием безопасности облака (CSPM) также могут помочь устранить пробелы или контролировать мультиоблачные среды.
7. Блокировать хранилища (storage buckets)
Небезопасные Amazon S3-бакеты были очень популярны среди киберпреступников несколько лет назад — и до сих пор остаются распространенной проблемой для компаний. Для обеспечения того, чтобы хранилище по умолчанию было приватным, рекомендуются политики бакетов и контроль доступа.
8. Внедрить логирование и мониторинг
Многие компании отслеживают основные облачные сервисы, но теневые ИТ часто остаются вне поля зрения. Это скорее управленческая, а не технологическая проблема, которую можно решить путем улучшения коммуникации с бизнес-подразделениями и более дисциплинированного подхода к развертыванию технологий.
9. Придерживаться принципа Security by Design
Интегрируйте безопасность в вашу облачную архитектуру с самого начала — дооснащать всегда значительно сложнее. (fm)
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Maria Korolov
