National Security Agency opublikowała nowy raport zatytułowany Mitigating Cloud Vulnerabilities, w którym opisuje zagrożenia, które uważa za najgroźniejsze dla chmury. Na pierwszy plan wysuwa się jedno, a mianowicie źle skonfigurowane ustawienia prywatności. Raport ten jest również kolejnym dowodem na to, że NSA stała się bardziej aktywna w obszarach bezpieczeństwa chmurowego i firmowego. Przykładowo w pierwszym Patch Tuesday tego roku Microsoft zawarł łatkę, która została odkryta i zgłoszona właśnie przez NSA.
Skupmy się teraz na temacie złej konfiguracji. Czym to właściwie grozi? Otóż właśnie z tej przyczyny doszło w ostatnich latach do licznych incydentów wycieku danych z chmury Amazon Web Services (AWS). Najświeższym przykładem jest natomiast wystawienie danych ponad 250 milionów klientów, które znajdowały się w źle skonfigurowanej chmurze Azure. Co ciekawe, raport NSA datowany jest na ten sam dzień (22 stycznia), w którym Microsoft poinformował o tym wycieku. Zobaczmy, co konkretnie na temat niewłaściwej konfiguracji pisze agencja:
Podczas gdy CSP [dostawcy usług w chmurze] zwykle dostarczają narzędzi, które pomagają zarządzać konfiguracją chmury, błędna konfiguracja zasobów chmurowych pozostaje najbardziej rozpowszechnioną podatnością, która może zostać wykorzystana do uzyskania dostępu do danych i usług w chmurze. Powstająca zwykle na skutek błędów w zasadach usług chmurowych lub niezrozumienia wspólnej odpowiedzialności, zła konfiguracja wpływem obejmuje [zakres] od blokady usług, po przejęcie kont. Błyskawiczne tempo innowacji CSP tworzy nową funkcjonalność, ale też dodaje złożoności bezpiecznej konfiguracji zasobów chmurowych organizacji.
Podstawowe działanie, które ma zapobiec błędnej konfiguracji, to wymuszenie przez administratora niższych uprawnień. NSA zaleca w tym celu:
- Używanie zasad usług chmurowych, uniemożliwiających udostępnianie danych przez użytkowników bez roli, która by to uzasadniała.
- Używanie chmurowych lub zewnętrznych narzędzi, aby wykrywać złe konfiguracje w zasadach usług chmurowych.
- Ograniczenie dostępu do i pomiędzy zasobami chmurowymi. Pożądany stan to tzw. model Zero Trust.
- Używanie zasad usług chmurowych, które zapewniają domyślny stan zasobów jako prywatny.
- Audytowanie logów dostępu z automatycznymi narzędziami, aby identyfikować nadmiernie wystawione dane.
- Ograniczyć wrażliwe dane do zatwierdzonego magazynu i używać rozwiązań typu Data Loss Prevention, aby wymusić te ograniczenia.
NSA przedstawia jeszcze więcej zaleceń i bardziej szczegółowo opisuje problematykę konfiguracji ustawień chmury. Pełen raport można pobrać bezpłatnie ze strony U.S. Department of Defense.