7 pasos para evitar los principales riesgos de acceso a la nube



Asegurar identidades y datos en la nube es un desafío, pero un enfoque de acceso con privilegios mínimos ayuda.

Según la última Alianza de Seguridad en la Nube (CSA) reporte En las 11 amenazas más grandes para la computación en la nube, la configuración incorrecta y el control de cambio inadecuado ocuparon el segundo lugar solo, como lo adivinó, las infracciones de datos.

El incidente de Capital Just one, en el que se expusieron datos de 106 millones de clientes y solicitantes de tarjetas de crédito, es un buen ejemplo. Los atacantes explotaron una vulnerabilidad en un firewall de aplicaciones net de código abierto (WAF) que se estaba utilizando como parte de las operaciones basadas en la nube del banco en Amazon Internet Companies (AWS).

A través de esta vulnerabilidad, el atacante podría obtener credenciales para obtener acceso a todos los recursos a los que WAF tenía acceso. Desafortunadamente, al WAF se le asignaron permisos excesivos, es decir, él (y el atacante) podían enumerar todos los archivos en cualquier grupo de datos y leer el contenido de esos archivos. Esto permitió al atacante acceder a un bucket S3 wise.

La forma más efectiva de mitigar este tipo de abuso de identidad es hacer cumplir el principio de privilegio mínimo. (Nota del editor: la compañía del autor es una de las muchas que utilizan un enfoque de acceso con privilegios mínimos a los servicios de seguridad en la nube). Idealmente, cada usuario o aplicación debe limitarse solo a los permisos exactos requeridos.

El primer paso para implementar el menor privilegio es comprender qué permisos se le ha otorgado a un usuario (ya sea humano o máquina) o aplicación. El siguiente paso es asignar todos los permisos que realmente se utilizan. La comparación de los dos revela la brecha de permisos, que expone los que deberían mantenerse y los que deberían revocarse. Este proceso debe realizarse de forma continua para mantener el mínimo de privilegios a lo largo del tiempo.

Para ilustrar cómo funciona este proceso en la nube, usemos AWS porque es la plataforma más popular y ofrece uno de los sistemas de gestión de acceso e identidad (IAM) más granulares disponibles. AWS IAM es una herramienta poderosa que permite a los administradores configurar de forma segura más de 2,500 permisos (y contando) para lograr un command detallado sobre qué acciones se pueden realizar en un recurso dado.

Paso 1: examinar las políticas adjuntas
El primer paso es examinar las políticas adjuntas directamente al usuario. Hay dos tipos de políticas:

  • Políticas administradas, que vienen en dos variedades: (a) políticas administradas por AWS que son creadas y administradas por el proveedor de servicios en la nube (CSP), y (b) políticas administradas por el cliente que una organización puede crear y administrar en su cuenta de AWS. Las políticas administradas por el cliente generalmente brindan un handle más preciso que las políticas administradas por AWS.
  • Políticas en línea, que son creadas por el cliente de AWS y están integradas en una identidad IAM (un usuario, grupo o rol). Se pueden incrustar en una identidad cuando la identidad se crea inicialmente o se agrega más tarde.

Paso 2: analizar los grupos IAM
El siguiente paso es revisar cada uno de los grupos de IAM a los que pertenece un usuario. Estos también tienen políticas adjuntas que indirectamente otorgan a un usuario acceso a recursos adicionales. Al igual que con el propio usuario, los grupos pueden estar vinculados a las políticas administradas y en línea.

Paso 3: Mapa de roles de IAM
Ahora, todas las funciones de IAM asociadas a un usuario deben asignarse. Un rol es otro tipo de identidad que se puede crear en la cuenta de AWS de una organización con políticas asociadas que otorgan permisos específicos. Es identical a un usuario de IAM, pero en lugar de estar asociado de forma exclusiva con una persona, se puede asignar un rol a cualquiera que requiera sus permisos. Los roles se usan a menudo para otorgar permisos de acceso a las aplicaciones.

Paso 4: Encuesta de políticas basadas en recursos
A continuación, el enfoque de este ejercicio pasa de las políticas de usuario a las políticas asociadas a los recursos, como un depósito de AWS. Estas políticas pueden otorgarle al usuario permiso para realizar acciones en un depósito directamente, independientemente de todas las demás políticas (directas e indirectas) que existan. Es extremadamente importante realizar una revisión exhaustiva de todos los recursos de AWS y sus políticas, especialmente aquellos que contienen datos confidenciales.

Paso 5: analizar las listas de command de acceso
Una vez que se completa la revisión de la política, el análisis debe pasar a las listas de regulate de acceso (ACL) vinculadas a cada recurso. Son similares a las políticas basadas en recursos y permiten controlar qué identidades en otras cuentas pueden acceder al recurso. Como las ACL no se pueden usar para controlar el acceso a las identidades dentro de la misma cuenta, es posible omitir todos los recursos que se encuentran en la misma cuenta que el usuario.

Paso 6: Revise los límites de permisos
En este paso, debemos revisar el límite de permisos para cada usuario. Esta es una característica avanzada que define los permisos máximos que puede tener un usuario, grupo o rol. En otras palabras, un límite de permiso para un usuario define las acciones que puede realizar según las políticas adjuntas y los límites de los permisos. Es importante tener en cuenta que los límites de permisos no afectan a todas las políticas de la misma manera. Por ejemplo, las políticas basadas en recursos no están limitadas por el límite de permisos y una denegación explícita en cualquiera de estas políticas anula el permiso.

Paso 7: Verifique las políticas de handle de servicio
Finalmente, es necesario revisar las políticas de control de servicio (SCP). Estos son conceptualmente similares a los límites de permisos definidos en todas las identidades (es decir, usuarios, grupos y roles) dentro de una cuenta de AWS. Un SCP se define a nivel de la organización de AWS y puede aplicarse a cuentas específicas.

Hacer cumplir el acceso de privilegios mínimos
Como hemos visto, proteger las identidades y los datos en la nube es un desafío y se vuelve cada vez más complejo a medida que las organizaciones expanden su huella en la nube. En muchos casos, los usuarios y las aplicaciones tienden a acumular permisos que superan con creces sus requisitos técnicos y comerciales, lo que resulta en una brecha de permisos.

A menudo, el esfuerzo requerido para determinar los permisos precisos necesarios para cada usuario o aplicación en un entorno complejo como AWS es prohibitivamente costoso y no escala. Incluso tareas simples como comprender los permisos otorgados a un solo usuario humano pueden ser extremadamente difíciles.

En un intento de automatizar algunos de estos procesos, hace unos años AWS lanzó una herramienta llamada Coverage Simulator que permite a los administradores seleccionar cualquier entidad de AWS (es decir, un usuario, grupo o rol de IAM) y el tipo de servicio (como un Relacional Servicio de base de datos o un depósito S3) y evalúa automáticamente los permisos de usuario para un servicio específico.

Aunque Policy Simulator es una gran herramienta, está lejos de ser maduro. Por ejemplo, Policy Simulator no revisa todos los roles que un usuario puede asumir y sus políticas (Paso 3). Tampoco considera las ACL (Paso 5) o los límites de permisos (Paso 6). En la mayoría de los casos, las organizaciones se ven obligadas a realizar una gestión de políticas manual o escribir secuencias de comandos propietarias.

Como hemos visto, administrar identidades y acceso en entornos de nube para aplicar políticas de privilegios mínimos es complicado, laborioso y costoso. Dado que esta disciplina aún está en pañales, carece de herramientas nativas confiables de los proveedores de plataformas en la nube. Como suele ser el caso, están surgiendo soluciones de terceros para llenar el vacío.

Contenido relacionado:

Shai Morag es CEO del proveedor de seguridad de acceso e identidad en la nube Ermetic. Anteriormente, fue cofundador y CEO de Secdo, un proveedor de plataforma de respuesta a incidentes adquirido por Palo Alto Networks, y CEO de Integrity-Task, una empresa de outsourcing de computer software adquirida … Ver biografía completa

Más ideas





Enlace a la noticia original