Identidades: o tecido conjuntivo para segurança na nuvem
Quase tudo na nuvem está a um privilégio excessivo ou configuração incorreta da exposição. A postura adequada da nuvem e
Quase tudo na nuvem está a um privilégio excessivo ou configuração incorreta da exposição. A postura adequada da nuvem e o gerenciamento de direitos podem ajudar a mitigar riscos e eliminar combinações tóxicas.
Quando se implementa e configura uma solução de segurança em nuvem, é fácil ficar sobrecarregado com o grande volume de “coisas” para monitorar. Isso inclui aplicativos web em execução na infraestrutura Kubernetes, incluindo recursos de IaaS e contêiner, e as identidades, humanas e relacionadas a máquinas, e muito mais. As equipes de segurança em nuvem devem gerenciar a identidade de serviço de cada recurso, bem como verificá-los em busca de vulnerabilidades e configurações incorretas. Como há tantas coisas para monitorar, as organizações geralmente procuram ferramentas e soluções pontuais para ajudar a combater esses vetores de ameaça. Muitas empresas acabaram com uma sopa de letrinhas de siglas de segurança em seus ambientes e, como resultado, acumularam enormes custos tentando configurar e implementar todos esses produtos díspares.
Muitas vezes, cada ferramenta produz sua própria infinidade de descobertas de segurança e trabalha com métricas de criticidade diferentes. Portanto, mesmo com ferramentas tecnicamente avançadas, as equipes de segurança são enviadas de volta ao inferno das planilhas para tentar reconciliar e priorizar todas as descobertas.
A importância de proteger identidades na nuvem
Para implementar uma estratégia de segurança mais eficaz, você deve começar isolando o que os agentes da ameaça estão tentando alcançar ao violar a infraestrutura da nuvem. Recentemente, ficou claro que quase todas as violações de nuvem estão se aproveitando de identidades e autorizações mal configuradas. A pesquisa da Identity Defined Security Alliance (IDSA) “Tendências de 2022 em Protegendo Identidades Digitais” descobriu que 84% das empresas sofreram uma violação relacionada à identidade nos 12 meses cobertos pelo estudo. Por quê? Não apenas porque as identidades estão tão profundamente interligadas em tudo que executamos e construímos na nuvem, mas também porque é um problema extremamente complexo de resolver. Existem tantas variáveis em jogo ao tentar compreender verdadeiramente os riscos associados ao gerenciamento de identidade.
Independentemente de você ter uma instância pública do Amazon EC2 com vulnerabilidades exploráveis conhecidas ou infraestrutura mal configurada atendida manualmente ou por código, quando as exposições à nuvem são exploradas, os invasores imediatamente buscam uma identidade. Eles testam direitos para se mover lateralmente ou escalonar privilégios na tentativa de acessar dados confidenciais e outros recursos. A identidade é o perímetro na nuvem e, devido ao seu amplo impacto, a segurança de identidade e autorização deve ser a base para um programa holístico de segurança em nuvem.
Compreendendo identidades de serviço vs. humanas
Ao proteger identidades, é importante entender a diferença entre identidades de serviço e humanas, bem como as diferentes abordagens para protegê-las, a fim de alcançar o princípio do menor privilégio. As identidades de serviço destinam-se a servir cargas de trabalho e operar de maneira consistente e previsível. Avaliar quais permissões são atribuídas versus quais são realmente usadas é importante para entender as “permissões efetivas”. Como as identidades de serviço são programadas para um propósito específico e os requisitos raramente mudam, é possível dimensionar suas permissões ao mínimo necessário com base na atividade – o princípio do menor privilégio.
Por outro lado, as identidades humanas são feitas para serem usadas por pessoas reais. Isso os torna imprevisíveis e torna-se desafiador dimensionar as permissões para recursos e ações específicos, especialmente quando surgem tarefas ad-hoc. Para executar a confiança zero, a implementação de um programa integrado de acesso just-in-time (JIT) é a chave. Nenhuma organização pode eliminar completamente todo o acesso à nuvem por usuários humanos. Isso não é realista. Aqui está uma maneira de reduzir drasticamente os riscos associados a identidades humanas: Dar às equipes de DevOps a capacidade de solicitar programaticamente acesso de curto prazo à nuvem para tarefas específicas em ambientes críticos e garantir que esse fluxo de trabalho de acesso de curto prazo se integre às ferramentas de comunicação existentes como Slack, Microsoft Teams e muito mais.
Programas de segurança que não levam em conta essas diferenças podem causar transtornos e atritos entre as equipes de DevOps e de TI. Cumprir a promessa do DevSecOps significa garantir que a segurança esteja integrada aos fluxos de trabalho de uma maneira escalável. É aqui que as ferramentas integradas de Cloud Infrastructure Entitlement Management (CIEM) e Cloud Native Application Protection Platforms (CNAPP) podem entrar em jogo. A integração entre essas ferramentas pode fornecer visibilidade e controle sobre a infraestrutura em nuvem, Kubernetes, contêineres, infraestrutura como código (IaC), identidades, cargas de trabalho e muito mais.
Procure o seguinte em soluções de segurança CNAPP e CIEM integradas:
- Visão e percepção de direitos: Como diz o velho ditado de segurança, você não pode proteger o que não pode ver. A visibilidade precisa de vários clouds em recursos, permissões e suas atividades é um ponto de partida essencial.
- Avaliação contínua de risco: É necessário monitorar continuamente o ambiente de nuvem para detectar e avaliar fatores de risco, como exposição de rede, configurações incorretas, permissões arriscadas, segredos expostos e ameaças relacionadas à identidade, incluindo acesso anômalo a dados.
- Aplicando o princípio do menor privilégio: O conjunto de ferramentas integradas deve ser capaz de automatizar proteções de permissão por meio de políticas de menor privilégio.
- Correção simplificada: Se você sabe onde estão os riscos, deve ser fácil remediá-los na ferramenta com a oportunidade de automatizar sempre que fizer sentido para sua estratégia de segurança.
- Controle de acesso centrado no desenvolvedor: Elimine a frustração com a segurança para as equipes de DevOps, fornecendo-lhes as ferramentas para integrá-la aos seus fluxos de trabalho.
Combatendo a fadiga de alertas com contexto
Embora muitas equipes de segurança gastem tempo ajustando controles e políticas para combater a sobrecarga de alertas, uma maneira melhor é integrar ferramentas de segurança como CNAPP e CIEM em uma única plataforma que forneça um contexto rico em toda a superfície de ataque. Com ferramentas de segurança integradas, você pode padronizar o que “crítico” realmente significa e entender melhor os caminhos de ataque que os invasores podem aproveitar para causar danos em seu ambiente de nuvem. Além disso, é muito mais fácil atualizar quando novas ameaças e vulnerabilidades de dia zero são descobertas.
Por exemplo, você pode ter 100 cargas de trabalho acessíveis publicamente em execução em um ambiente de nuvem, mas apenas 10 delas têm vulnerabilidades críticas e apenas cinco delas têm vulnerabilidades críticas e privilégios elevados. Esse contexto fornece às equipes de segurança insights sobre onde devem direcionar seus esforços com base no que tem maior probabilidade de ser explorado. Muitas vezes, as equipes de segurança acabam tentando lidar com todas as 100 cargas de trabalho públicas porque as soluções pontuais não têm a integração e o contexto focado em identidade necessários para lidar com as ameaças de forma eficiente.
Capacidades integradas para compreender o risco e a exposição são importantes. E elas fazem sentido não apenas da perspectiva da infraestrutura ou vulnerabilidade, mas como uma forma de ver tudo junto e ajustar dinamicamente a pontuação de risco com base no que realmente está acontecendo em seu ambiente.
O Post Identities: The Connective Tissue for Security in the Cloud apareceu primeiro Blog da Tenable e foi escrito por Christopher Edson