Za kompanije koje rade isključivo u oblaku, čitav posao može biti ugrožen. Treba potražiti pomoć u nadgledanju i proveri konfiguracije bezbednosti oblaka. Prošle jeseni jedan istraživač bezbednosti je otkrio četiri Amazon S3 baketa (engl. bucket) za skladištenje sa veoma osetljivim podacima kao što su klijentska ovlašćenja i jedna rezervna kopija baze podataka sa 40.000 lozinki. Accenture je slučajno postavio baket sa omogućenim javnim pristupom, pa su sve informacije bile potpuno izložene. Istraživač je obavestio Accenture, a Accenture je zaključao podatke sledećeg dana. Accenture nije bio jedini. Druge kompanije koje su ostavile svoje Amazon S3 bakete otvorene za javnost su Dow Jones, Verizon i vojna obaveštajna agencija INSCOM. Loše vesti su se nastavile.
U novembru je Uber otkrio da su hakeri dobili u ruke lične informacije za 57 miliona korisnika, koji su takođe bili smešteni na AWS (Amazon Web Services), a onda su isplatili hakere i pokušali da sakriju prekršaj. Zatim, prošlog meseca, klijent Experijera je kupio skup podataka koji sadrži informacije o 120 miliona američkih domaćinstava – a onda ostavili te podatke u javnom Amazon S3 baketu.
Prema nedavnom izveštaju kompanije RedLock, 53 procenata organizacija koje koriste usluge skladištenja u oblaku kao što je Amazon S3 slučajno su izložile bar jednu takvu uslugu javnosti. „Našli smo 250 organizacija koje dozvoljavaju curenje akreditiva u okruženju AWS oblaka „, kaže Varun Badhwar, izvršni direktor i saosnivač kompanije RedLock, Inc.
Problem pogrešno konfigurisanih servisa u oblaku je mnogo širi od AWS-a, i kako se sve više podataka i aplikacija premešta u oblak, problem se samo pogoršava, kažu stručnjaci. Kada je RedLock analizirao više od 5 miliona resursa u okruženjima klijenata, kao i ranjivost u javnim okruženjima računarstva u oblaku, utvrdio je da 37 posto baza podataka prihvata ulazne veze direktno sa interneta – i 7 posto ovih baza podataka je već imalo pristupe sa sumnjivih IP adresa. „Baze podataka nikada ne bi trebalo da budu izložene Internetu“, izveštava RedLock.
Nije reč samo o bazama podataka. Konfiguracijske greške takođe mogu da dozvole hakerima da koriste naloge preduzeća u oblaku za podešavanje operacija prekopavanja za Bitcoin. Aviva i Gemalto su među pogođenim kompanijama, prema istraživanju kompanije RedLock. Danas je to već veliki problem, kaže Badhvar. „U 2018., videćemo još puno toga.“
Za kompanije koje rade isključivo u oblaku, čitav posao može biti ugrožen. Treba potražiti pomoć u nadgledanju i proveri konfiguracije bezbednosti oblaka. „Pogrešna konfiguracija resursa je ozbiljna pretnja, pogotovo s obzirom na veličinu našeg javnog računarstva u oblaku“, kaže David Tsao, zadužen za globalnu bezbednost informacija u kompaniji Veeva Systems, Inc., koja nudi sistem upravljanja sadržajem u oblaku za industriju životnih nauka. Poslovni model zasnovan na oblaku je „ogroman faktor“ uspeha kompanije, kaže on. Kompaniji je potreban način da kontinuirano prati svoje celokupno okruženje u oblaku, uključujući i konfiguracije resursa.
Veeva je odlučila da prihvati RedLock, koji je jedna od novih početničkih firmi za upravljanje bezbednošću oblaka. U stvari, RedLock je tek prošlog proleća izašao iz tajnosti. Platforma omogućuje Veeu da brzo otkrije probleme u svojem okruženju oblaka, kaže Tsao, „i pruža bolju vidljivost u svojoj postavci bezbednosti.“
Zašto postoje problemi sa konfigurisanjem bezbednosti u oblaku?
U tradicionalnim, lokalnim okruženjima, stvari su išle sporije. Kompanije su imale vremena da konfigurišu svoje mreže i izvrše bezbednosne preglede novog softvera. Na kraju, najosetljivije informacije su se krile iza korporativnih mrežnih barijera.
U današnjim okruženjima u oblaku i hibridnim okruženjima, mnoge od tih bezbednosnih kontrola više se ne primenjuju. Vidimo rezultate toga. „Konfiguracijske greške su krive za ogromnu većinu izloženosti podataka i kršenja u oblaku danas“, kaže Zohar Alon, direktor kompanije Dome9 Security Ltd.
Problemi sa nepravilno podešenim kontrolama pristupa se pojavljuju svuda. Uzmite, na primer, Kubernetes platformu otvorenog koda, koja pomaže kompanijama da koriste kontejnere. Tako su hakeri prošle jeseni uspeli da preuzmu Aviva i Gemaltoove Amazonove servere i da ih koriste prošle jeseni za Bitcoin prekopavanje. „To je de facto standard za upravljanje kontejnerima“, kaže Badlvar. „Pronašli smo na desetine kontejnera koji su bili izloženi, bez prijavljivanja ili lozinki.“
Neki servisi su pogrešno konfigurisani od samog početka. Ponekad se podešavanja privremeno promene, a zatim se nikad ne vrate. Ljudi odgovorni za konfiguraciju odlaze i dolaze.
Često, korisnici očekuju da dobavljači oblaka vode računa o svim bezbednosnim problemima i nemaju nikakve vlastite sisteme da bi se obezbedilo ispravno zaključavanje usluga oblaka. „To je u stvari zajednička odgovornost“, kaže Badhvar, „ali još uvek je vrlo rano, a većina organizacija još uvek nije to potpuno obuhvatila“.
Ovo pitanje pogoršava širok spektar načina na koji se usluge u oblaku sada koriste. Programeri kreiraju virtuelne servere i kontejnere da bi brzo napravili aplikacije i čuvali podatke. Poslovne jedinice se samostalno registruju za usluge, a tako i pojedinačni korisnici.
Tradicionalni pristupi upravljanju konfiguracije koji su važili za lokalne centre podataka ne važe za servise u oblaku, kažu stručnjaci. Platforme u oblaku obično imaju sopstvene sisteme za nadgledanje promena konfiguracije.
AWS, na primer, ima AWS Cloud Trail i AWS Config, kaže Tim Jefferson, podpredsednik javnog oblaka u Barracuda Networks, Inc. Microsoftova platforma Azure Cloud ima Operations Management Suite. Drugi popularni dobavljači SaaS -a u oblaku nemaju centralizovane alate za upravljanje, prepuštaju pojedinačnim korisnicima odgovornost za sopstvene postavke bezbednosti i delenja.
U međuvremenu, usluge oblaka se uvode mnogo brže od tradicionalnih lokalnih aplikacija, kaže Andrew Howard, direktor u Kudelski Security. „Tamo su svakakvi osetljivi podaci i ko zna da li su pravilno podešeni“, kaže on. „Da sam ja službenik za obezbeđenje u velikom preduzeću, to bi bila jedna od mojih najvećih briga. Ne želite takav prekršaj.“
Problem predstavljaju čak i osnovne stvari, da se zna gde se podaci o preduzeću skladište, kako im se pristupa ili kako se dele. Howard preporučuje preduzećima da za praćenje pristupa servisu u oblaku koriste bezbednosne brokere.
Novi alati za upravljanje i proveravanje konfiguracije bezbednosti
Često se upravljanje konfiguracijom mora vršiti ručno. „Alati još uvek nisu dovoljno usavršeni za tu vrstu higijene“, kaže on. „To dovodi do velikog broja organizacija koje koriste sklepana rešenja ili rešenja koja nemaju dovoljan domet. Postoje rešenja koja se upravo pojavljuju na tržištu, ali usvajanje još ne ide.“
Na primer, prošle jeseni, Veriflow je proširio svoju platformu za verifikaciju mreže na AWS, uključujući i S3 bakete za skladištenje. Platforma automatski otkriva nameru iza konfiguracionih postavki, a zatim proverava da li su ta podešavanja još uvek tačna.
To je ponekad teško shvatiti zbog složenosti ili zbog toga što je osoba koja je prvobitno izvršila postavljanje napustila kompaniju, kaže Brighten Godfrey, saosnivač i direktor u Veriflow Sistems, Inc.
Još jedan prodavac bezbednosti koji širi svoju podršku za oblake je FireMon, koji je u novembru lansirao proizvod za automatizaciju politika za AWS. Pored praćenja bezbednosnih postavki, platforma FireMon može da unosi promene sa jedne konzole, omogućavajući brže promene sa manje ljudskih grešaka. „Tu sposobnost koristi na hiljade FireMon klijenata, da bi implementirali prave bezbednosne kontrole, politike i pravila“, kaže Josh Mayfield, direktor u FireMon-u.
Na primer, ako postoji rast u upotrebi, pa kompanija mora brzo da uvede dosta novih servera, bezbednost se ne žrtvuje u tom procesu. „A možete izbeći greške koje potiču od ljudske nepažnje“, dodaje on.
Jedan od prodavaca koji već nekoliko godina nudi usluge bezbednosti u oblaku je Evident.io. Kompanija podržava AWS od 2014. godine, dodajući prošlog leta podršku za AWS GovCloud i u septembru podršku za Microsoft Azure.
Tim Prendergast, direktor kompanije, veoma je upoznat sa izazovima koje predstavljaju oblaci. Na početku ove decenije bio je stariji arhitekta oblaka u Adobe Systems-u. Kada je kompanija većinu svog rada obavljala u fizičkom centru podataka, postojao je tim pametnih ljudi koji su fizički spojili sve, rekao je i pobrinuo se za osiguranje pravilnih konfiguracija.
„Kad smo se preselili u oblak, proizvodni tim je preuzeo sve, pa je izazov bilo to što nikada ranije nisu radili taj posao“, kaže Prendergast. „Oni su bili novi u konfigurisanju mreža. Želeli su da izbace taj deo jer su stvarno želeli da prave softver, a imali su pritisak da svoje proizvode isporuče na tržište u razumnom vremenskom roku. Nemaju vremena da nauče kako pravilno da konfigurišu svoju infrastrukturu i usluge u oblaku. “
Dakle, koriste prečice, kaže Prendergast. „Imate puno parametara konfiguracije i zaštite“, kaže on. „Neke kompanije ih prave na milijarde. Nijedna kompanija ne može imati čoveka da sedne i prođe kroz sve“.
Evidentova platforma nadgleda infrastrukturu oblaka, uključujući AWS bakete. Može da preduzme akciju, počevši od nivoa jednostavnog upozorenja. „Možemo to da pokažemo čoveku“, kaže on. „Ili možemo da započnemo proces popravke, otvorimo karticu ili pozovemo određenu osobu, ili možemo da pokrenemo automatizovano reagovanje.“
Na primer, ako određeni Amazon baketi ne smeju nikada da budu otvoreni za javnost, sistem može da zatraži promene. Ako se baket ikada postavi da bude javan, on se automatski vraća u privatan. „Niste u mogućnosti da izložite svoje podatke jer ih sistem vraća u pravilno stanje“, kaže on.
Da li je na prodavcima da rešavaju ovaj problem?
Amazon je preduzeo korake kako bi klijenti lakše primetili da su baketi nezaštićeni i olakšava zaštitu podataka šifrovanjem. Većina proizvođača, naročito onih koji rade za poslovne korisnike, imaju jake bezbednosne kapacitete, ali je na korisnicima da li će ih koristiti.
Previše često kompanije postave svoje usluge u oblaku, a zatim ih puste da rade, kaže Neil Weitzel, direktor istraživanja bezbednosti kompanije Cygilant. „Izgledalo bi da je od tada sve lako,“ kaže on, „ali istina je da je što se tiče osoblja, pokrenuti nešto u oblaku isto toliko opterećenje kao da je u vašem centru podataka. Još uvek upravljate infrastrukturom“.
Važno je razumeti koji deo bezbednosti se dobija od dobavljača oblaka, a koliko je odgovornost klijenta, kaže Tim Erlin, potpredsednik za upravljanje proizvodima i strategiju kompanije Tripwire, Inc. „Na primer, bezbedna konfiguracija usluga i aplikacija koje se koriste nad uslugama koje pruža prodavac, uglavnom je odgovornost korisnika, a ne prodavca „, kaže on.
Prema Gartner-u, do 2020. godine, 95% bezbednosnih propusta u oblaku će biti krivica klijenta. „Ne, prodavci ne dižu ruke“, kaže Ali Din, direktor u DinCloud-u. „Za velike dobavljače, cilj je porast i usluživanje svakog kupca.“
To znači da moraju da postave kontrolu i poluge za sve moguće izbore podešavanja i konfiguracija, kaže Din. „To dovodi do složenosti. Ako samo pogledate padove usluga koje AWS ima na svojoj veb stranici, to je porazno.“
Din preporučuje da kompanije malo uspore i osiguraju da osoblje dobije obuku potrebnu za pravilno raspoređivanje i upravljanje servisima u oblaku, te da traže alate koji mogu pomoći u pružanju sveobuhvatnog pregleda njihovih postavki u oblaku.
„Mislim da je problem rešiv „, kaže Mike Fleck, potpredsednik za bezbednost u Covata, platformi za razmenu fajlova. Nema brzog rešenja, dodaje on. „Da li ćete samo otići i kupiti nešto gotovo i rešiti sve svoje probleme? Ne, ljudi će morati da ulažu trud u funkcionisanje njihovog okruženja, a to postaje sve teže.“
Izvor: CSO