По мере того как современные предприятия переводят все больше своих систем и бизнес-процессов в облако, задача управления и мониторинга доступа к этим ресурсам становится все более сложной. Облачные ресурсы больше не являются статичными и предсказуемыми. Кроме того, предприятия больше не работают только в одном облаке, а вместо этого применяют многооблачные подходы к своей инфраструктуре. Поэтому установить надлежащие разрешения для доступа к этим ресурсам уже не так просто. Решением этой проблемы является управление правами на облачную инфраструктуру (CIEM).
Поставщики облачных услуг используют модель общей ответственности. Предлагая инфраструктуру как услугу (IaaS), поставщик облачных услуг предоставляет доступные услуги и хранилище и гарантирует физическую безопасность своих центров обработки данных. Однако пользователь предложения IaaS несет ответственность за безопасность, определяя, кто (или что) может и не может получить доступ к этим ресурсам инфраструктуры.
Динамические ресурсы и сложность многооблачных конфигураций
В среде со статическими ресурсами поставщики облачных услуг используют правила управления идентификацией и доступом (IAM) для управления доступом. Например, любой пользователь с этой deployments-manager ролью может иметь разрешение на перезагрузку определенного вычислительного экземпляра (например, EC2). Между тем, конвейер CI/CD с automated-test-runner ролью может иметь разрешение SSH на этот экземпляр для выполнения теста.
Однако в современных облачных средах ресурсы постоянно меняются. Многие ресурсы эфемерны: они выделяются или удаляются в зависимости от потребностей масштабирования в любой конкретный момент. Хотя у облачных провайдеров есть решения для предоставления разрешений на временные ресурсы, у каждого облачного провайдера есть свой уникальный способ сделать это. Это ставит предприятия перед проблемой управления и понимания разрешений в нескольких облаках.
Права на облачную инфраструктуру включают в себя различные разрешения, предоставляемые объектам для доступа к облачным ресурсам. Как мы увидим, в многооблачной среде, работающей с тысячами ресурсов, управление и отслеживание прав на корпоративную облачную инфраструктуру — невероятно сложная задача.
Что такое управление правами на облачную инфраструктуру (CIEM)?
CIEM — относительный новичок в области технологий облачной безопасности. Эксперты дают следующее определение:
Предложения по управлению правами на облачную инфраструктуру (CIEM) — это специализированные решения SaaS, ориентированные на удостоверения и предназначенные для управления рисками доступа к облаку с помощью средств контроля времени администрирования для управления правами в гибридной и мультиоблачной инфраструктуре (IaaS).
CIEM помогает предприятиям управлять правами на все ресурсы облачной инфраструктуры. Основная цель этого инструмента — снизить риск, связанный с непреднамеренным и непроверенным предоставлением чрезмерных разрешений на облачные ресурсы.
Какие задачи решает CIEM?
Управление и мониторинг доступа к облачным ресурсам сопряжено с рядом проблем, которые CIEM пытается решить.
Управление доступом к эфемерным ресурсам
В современных облачных средах люди или процессы могут предоставлять или отменять ресурсы в любой момент. Управление доступом к этим ресурсам требует динамического подхода. Мониторинг доступа к этим эфемерным ресурсам также сложен.
Чрезмерный доступ к облачным ресурсам
При ручном или небрежном подходе к разрешениям многие предприятия ошибаются, предоставляя доступ слишком грубым образом. Рассмотрим пример присоединения IAM-политик к новому члену инженерной группы. Возможно, чтобы не блокировать нового участника в выполнении задач или чтобы новый участник не нуждался в повторных запросах дополнительных разрешений, предприятие совершает ошибку, предоставляя этому участнику чрезмерные разрешения для выполнения всех видов действий, включая действия, не связанные с его задачами или обязанностями.
Это предоставление чрезмерных разрешений значительно повышает риск нарушения безопасности.
Получение ясности при масштабировании
Доступ к облачной инфраструктуре не так прост, как доступ пользователей к ресурсам. Ресурсы, к которым может потребоваться доступ, включают:
- Виртуальные машины
- Контейнеры
- Бессерверные функции
- Базы данных
- Приложения
Между тем, объекты, которым необходим доступ к этим ресурсам, могут включать:
- Пользователи
- IoT-устройства
- Другие бессерверные функции
- Другие приложения
- Другие облачные аккаунты
В среде с сотнями или более ресурсов в сочетании с потенциальными сотнями или тысячами объектов, которым требуется доступ к одним ресурсам, но не к другим, потребность в ясности в управлении доступом огромна. Особенно, если предприятия ошибаются в сторону чрезмерных разрешений, этим предприятиям необходимо четкое понимание того, какие объекты имеют больше привилегий, чем они должны. Эта ясность позволит им обуздать чрезмерные разрешения и снизить риск нарушения безопасности.
Многооблачная сложность
Многие предприятия используют многооблачный подход, предпочитая размещать свои ресурсы в разных облаках из-за стоимости, доступности или других факторов. У AWS, Azure и GCP разные подходы к IAM, как и у любого другого поставщика облачных услуг. Это оставляет предприятия без единого, унифицированного подхода к управлению разрешениями для всех своих облачных ресурсов. Вместо этого им необходимо разделить и скоординировать несколько подходов для нескольких облачных провайдеров.
Отслеживание и обнаружение рисков доступа
Поскольку различным пользователям, приложениям и компьютерам предоставлены различные привилегии для доступа к облачным ресурсам, отслеживание доступа необходимо для обеспечения безопасности и повышения уровня безопасности предприятия. Однако в масштабе сотен или тысяч ресурсов такое отслеживание чрезвычайно сложно реализовать.
Как CIEM решает эти проблемы?
Современные решения CIEM предоставляют командам по безопасности предприятия панели управления для удобной визуализации всех их ресурсов во всех облаках. В эти информационные панели встроены элементы управления для управления правами на эти ресурсы облачной инфраструктуры. Решения CIEM работают как с огромными масштабами, так и с эфемерным характером ресурсов в современных облачных средах.
Стандартный подход решений CIEM заключается в применении принципа наименьших привилегий, то есть подходе предоставления пользователю (или любому объекту) минимального количества разрешений, необходимых для выполнения их роли. Используя этот подход, решения CIEM исходят из позиции, которая позволяет избежать опасностей, связанных с чрезмерными разрешениями.
Решения CIEM также унифицируют терминологию безопасности и ее использование во всех облаках, что снижает потребность групп в переключении контекста на нескольких поставщиков облачных услуг.
Наконец, многие решения CIEM используют машинное обучение для анализа записей доступа и конфигураций, чтобы определить потенциальные риски доступа предприятия. Благодаря этому CIEM может помочь выявить избыточные права и снизить риск нарушения безопасности.
Эпилог
Традиционный подход IAM в статических облачных средах недостаточен для современных динамических многооблачных сред. Кроме того, ручной подход, применяемый в масштабах современных сред — с потенциальными тысячами ресурсов и еще большим количеством объектов, которым требуется доступ к этим ресурсам, — неприемлем и может привести к непреднамеренному избыточному разрешению, что ведет к высокому риску нарушения безопасности.
Решением этой проблемы является управление правами на облачную инфраструктуру, которое обеспечивает управление доступом и мониторинг в нескольких облаках с помощью центрального решения SaaS. Предложения CIEM также предоставляют информационные панели для управления, используют AI/ML для оценки и идентификации рисков и унифицируют корпоративный подход к доступу во всех облаках.
Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.