Cómo proteger a su organización de la infraestructura como riesgos de seguridad del código


La infraestructura como código ofrece ventajas en la automatización de la administración de su centro de datos, pero también conlleva ciertos riesgos, dice la Unidad 42, el equipo global de inteligencia de amenazas en Palo Alto Networks.

Por qué las preocupaciones de cumplimiento están empujando a más grandes empresas a la nube
La migración a la nube se está acelerando a medida que las empresas enfrentan problemas de cumplimiento, seguridad y control.

Con la infraestructura como código (IaC), las organizaciones intentan automatizar la administración de sus centros de datos y hardware a través de scripts codificados y software en lugar de a través de procesos más manuales. Mediante el uso de scripts basados ​​en plantillas, los profesionales de TI pueden aplicar de manera más fácil y rápida configuraciones y cambios de configuración específicos en toda su infraestructura.

Pero como se usa actualmente en la nube, IaC puede exponer a las organizaciones a ciertos riesgos. En un informe publicado el miércoles, la Unidad 42 describe los riesgos potenciales de IaC y ofrece consejos sobre cómo protegerse contra ellos.

VER: Hoja de trucos: los avances en la nube más importantes de la década (PDF gratuito) (TechRepublic)

En su Informe de amenazas en la nube para la primavera de 2020, la Unidad 42, el equipo global de inteligencia de amenazas en Palo Alto Networks, analizó cómo las organizaciones usan IaC y entornos basados ​​en la nube para administrar su infraestructura.

En un hallazgo clave, los investigadores de la Unidad 42 descubrieron más de 200,000 plantillas IaC con vulnerabilidades de gravedad alta y media. Específicamente, 42% de Plantillas de AWS CloudFormation, 22% de Plantillas de terraformacióny 9% de Archivos YAML de Google Kubernetes fueron encontrados como vulnerables. Sin plantillas de IaC seguras desde el principio, los entornos en la nube están listos para el ataque.

Alrededor del 43% de las bases de datos en la nube analizadas no estaban encriptadas. Mantener los datos encriptados evita que los atacantes lean la información almacenada. El cifrado de datos también es un requisito de muchos estándares de cumplimiento, como PCI e HIPAA. Las recientes infracciones de Vistaprint y MoviePass resaltan la importancia de utilizar bases de datos cifradas.

Un 60% de los servicios de almacenamiento en la nube examinados tienen el registro deshabilitado. Cuando el registro de almacenamiento está deshabilitado, los actores maliciosos pueden ingresar al sistema de almacenamiento sin que nadie lo sepa. El registro de almacenamiento es crítico cuando se intenta determinar la escala del daño en incidentes en la nube, como la fuga de los registros de votantes de EE. UU. O la fuga de datos de la Federación Nacional de Crédito.

Las organizaciones que operan en la nube están siendo atacadas por grupos de delitos informáticos, como Rocke, 8220 Mining Group y Pacha, de acuerdo con la Unidad 41. Estos grupos realizan operaciones de criptominería, generalmente a través del público Grupos mineros de Monero (XMR) o sus propios grupos de minería XMR.

Los atacantes están utilizando errores de configuración predeterminados creados por plantillas de configuración de IaC débiles o inseguras para evitar los firewalls, los grupos de seguridad y Políticas de VPC.

Para asegurar mejor su entorno basado en la nube y IaC, la Unidad 42 ofrece las siguientes recomendaciones:

  • Obtenga y mantenga visibilidad multicloud. Es difícil asegurar lo que no es visible o conocido. Los equipos de seguridad deben liderar la defensa de las plataformas de seguridad nativas en la nube (CNSP), que les dan visibilidad en las nubes públicas, privadas e híbridas. Las organizaciones que pueden contextualizar las capacidades de registro en la nube, junto con el inventario de activos en la nube, tienen la capacidad de monitorear quién está accediendo a los datos e identificar si esos datos fueron alterados o incluso filtrados.
  • Hacer cumplir los estándares. La seguridad en la nube requiere la aplicación estricta de los estándares en entornos de nube pública, privada e híbrida. Si su organización aún no tiene un estándar de seguridad en la nube, consulte el puntos de referencia creados por el Centro de Seguridad de Internet (CIS). Los estándares de papel son un buen comienzo, pero deben aplicarse de manera consistente sin tener que crear y mantener las herramientas que lo hacen. Las plantillas de IaC son una excelente manera de hacer cumplir de manera consistente estos estándares.
  • Escanear plantillas de IaC al confirmar. Las plantillas de IaC siempre deben analizarse en busca de inseguridades antes de su uso en entornos de nube. Usando herramientas como la Escáner Prisma Cloud IaC ayudará a las organizaciones a examinar mejor la calidad de las plantillas que usan en sus entornos de nube.
  • Desplazar a la izquierda. Shift dejó seguridad se trata de mover la seguridad al punto más temprano posible en el proceso de desarrollo. Las organizaciones que implementan constantemente prácticas y procedimientos de cambio a la izquierda dentro de las implementaciones en la nube pueden superar rápidamente a los competidores. Trabaje con los equipos de DevOps para integrar sus estándares de seguridad en las plantillas de IaC.

Ver también

<a href = "https://tr4.cbsistatic.com/hub/i/r/2019/12/09/6d8924d8-e17f-40fc-a1eb-f2f0d25864ce/resize/770x/a2fd9ddc9c6cb0cb8bba0f2eba124c35/20191tom.jpg "target =" _ blank "data-component =" modalEnlargeImage "data-headline ="

"data-credit =" Getty Images / iStockphoto "rel =" noopener noreferrer nofollow ">Concepto seguro de la seguridad informática de la computación de la nube digital de la red de datos. Elemento de tierra amueblado por la NASA

Getty Images / iStockphoto



Enlace a la noticia original