9 praktyk, które zapewnią bezpieczeństwo w chmurze Twojej firmie
Data publikacji: 17.12.2020
Przejście do chmury to jedna z najważniejszych zmian technologicznych z jaką zmagają się firmy. W ubiegłym roku aż 80% organizacji działających w chmurze doświadczało przynajmniej raz w miesiącu problemu zhakowanego konta, wynikającego z działań podmiotów zewnętrznych, złośliwych intruzów lub niezamierzonych błędów.
Specyfika działań związanych z bezpieczeństwem w chmurze może się różnić w zależności od platform i przypadków jej wykorzystania, jednak istnieją pewne praktyki, które każda organizacja powinna przestrzegać. Wielu z tych praktyk nauczył się Thycotic, pomagając tysiącom firm w planowaniu, projektowaniu i budowaniu programów PAM w chmurze.
Poniższa lista najlepszych praktyk w zakresie bezpieczeństwa chmury PAM pomoże Ci zapobiec naruszeniu uprzywilejowanych kont i zapewni kontrolę bezpieczeństwa w celu zmniejszenia ryzyka udanego ataku cybernetycznego.
#1. Dostosuj wymagania zgodności z funkcjami chmury
Zgodność z przepisami nie jest ostatecznym celem bezpieczeństwa cybernetycznego, ale to ważny krok w kierunku ochrony zasobów chmury. Dostosuj swoje zasady zarządzania uprzywilejowanym dostępem do wszelkich wymogów dotyczących zgodności z przepisami, które są wymagane w Twojej firmie. Niezależnie od tego, czy stosujesz się do zasad NIST, CIS Controls czy innych najlepszych praktyk w zakresie bezpieczeństwa cybernetycznego, upewnij się, że uwzględniasz ochronę chmury w swoich politykach. Udokumentuj firmowe zasady PAM i podziel się nimi z każdym, kto może mieć do czynienia z uprzywilejowanymi kontami.
#2. Stwórz Cloud Business Office
Jak zauważa Thycotic, spora część organizacji odnoszących największe sukcesy i prowadzących działania oparte w głównej mierze na chmurze, tworzy Cloud Business Office (CBO). Z założenia, CBO ma szeroki wgląd i nadzór nad wszystkimi działaniami w chmurze. Służy jako centralny punkt podejmowania decyzji, komunikacji i zarządzania projektami, w celu zapewnienia przestrzegania zasad korporacyjnych lub rządowych i najlepszych praktyk w zakresie bezpieczeństwa chmury.
CBO może zasiadać w dziale IT, ale w rzeczywistości reprezentuje zespół wielofunkcyjny. To świetny sposób na zorganizowanie interesariuszy w różnych działach, w tym: architektów i inżynierów chmury, programistów, zespół zajmujących się bezpieczeństwem, menedżerów ds. zgodności/ryzyka i właścicieli firm, którzy mają wpływ i perspektywę wykorzystania chmury oraz strategii.
Cloud Architect Alliance zorganizowało wydarzenie oraz opublikowało treści wideo poświęcone Cloud Business Office, które warto obejrzeć.
#3. Poznaj swoje obowiązki z zakresu bezpieczeństwa w chmurze
Czy wiesz, że zdecydowana większość błędnych konfiguracji chmury i niespójnych mechanizmów kontrolnych to wina klienta, a nie dostawcy chmury?
Amazon Web Services oraz inne platformy chmurowe udostępniają informacje na temat najlepszych praktyk, które dotyczą konfigurowania kont root dla serwerów i zasobów S3 oraz innych ustawień. Upewnij się, że postępujesz zgodnie z tymi wskazówkami oraz dokonaj kontroli, aby mieć pewność, że wszystkie ustawienia są prawidłowe.
To na Twoich barkach – a nie na dostawcy usług w chmurze – leży odpowiednie zarządzanie dostępem i uprawnieniami każdego użytkownika oraz systemu, który współdziała z chmurowymi systemami, takimi jak:
– krytyczne aplikacje przechowywane w chmurze,
– bazy danych przechowywane w chmurze,
– platformy chmurowe do tworzenia aplikacji,
– narzędzia używane przez Twoją firmę lub zespoły techniczne.
Dostęp do chmury powinien być rejestrowany i śledzony przy użyciu tych samych zasad, procesów i rozwiązań PAM, których używasz w całej organizacji.
#4. Wdrażaj granularną kontrolę na wszystkich typach platform chmurowych
Granularna kontrola dostępu do chmury jest jedną z najlepszych praktyk PAM, ale niestety nie stosuje jej wiele firm. Chociaż organizacje zwykle mają szeroką możliwość kontroli dostępu dla infrastruktur chmurowych, takich jak AWS lub Azure, często nie biorą pod uwagę różnych poziomów dostępu związanych z aplikacjami internetowymi.
PAM, zaprojektowany specjalnie dla chmury, pozwala precyzyjnie kontrolować to co użytkownicy mogą zobaczyć i zrobić na wszystkich platformach chmurowych, w tym bazach danych i aplikacjach internetowych.
# 5. Monitoruj i audytuj zachowania nawet najbardziej zaufanych użytkowników
Chociaż zdecydowana większość użytkowników jest godna zaufania, warto monitorować i audytować ich zachowania podczas uzyskiwania dostępu do poufnych informacji i kont uprzywilejowanych. W ramach programu bezpieczeństwa należy monitorować ruch sieciowy pod kątem nietypowych działań, takich jak dostęp poza godzinami pracy, połączenia zdalne i inne działania wychodzące. Znajdź typowe oznaki włamania, tymczasowo zablokuj wychodzący ruch internetowy i śledź wyciek danych.
Nawet przy złożonych funkcjach biznesowych i technicznych korzystających z różnych typów zasobów w chmurze, dzięki rozwiązaniu PAM na skalę korporacyjną, można osiągnąć skonsolidowany widok uprzywilejowanego dostępu w całej organizacji.
#6. Zwróć szczególną uwagę na osoby trzecie
Nie ograniczaj monitorowania i nadzoru zagrożeń do pracowników wewnętrznych. Pamiętaj o zewnętrznych dostawcach usług, którzy pracują nad projektami ograniczonymi w czasie, wykonawcach zleceń oraz personelu z outsourcingu pracowniczego.
Należy kontrolować użytkowników pod kątem bezpieczeństwa, zarówno gdy strona trzecia jest aktywnie zatrudniona w Twojej organizacji, jak i po zakończeniu zlecenia. Rozwiązania do zarządzania dostępem uprzywilejowanym (VPAM) mogą ograniczać ryzyko, zarządzać dostępem i zapewniać ścieżkę audytu.
#7. Nigdy nie udzielaj stałego dostępu
Wiele firm utrzymuje uprawnienia zbyt długo, zaniedbuje wygasanie haseł i kont oraz nie usuwa uprawnień po zakończeniu projektów lub odejściu pracowników. Kolejnym błędem jest przyznawanie stałego uprzywilejowanego dostępu, co narusza podstawową zasadę najmniejszych uprawnień i wprowadza istotne ryzyko.
Wdrożenie dostępu Just-In-Time w ramach Privileged Access Management (PAM) zapewnia użytkownikom i systemom w chmurze dostęp tylko w razie potrzeby przez ograniczony czas.
Zaawansowane narzędzia PAM wykorzystują funkcje przepływu pracy. Dzięki opcji „Request Access” użytkownicy mogą prosić o dostęp na określony czas. Z kolei funkcja „Checkout” umożliwia rotację danych logowania, gdy tylko zakończy się sesja.
#8. Przetestuj swoje systemy
Działanie zgodnie z wskazanymi punktami bardzo pomoże Twojej organizacji, jednak bez testowania pozostawiasz ważne pytanie bez odpowiedzi: „Czy to działa zgodnie z potrzebami mojej organizacji?”. Przetestuj zabezpieczenia w chmurze, aby przekonać się, jak dobrze wytrzymają cyberatak.
Wiele firm zatrudnia tzw. „etycznych hakerów” lub „czerwone zespoły” (ang. red teams), aby zasymulować atak na ich systemy chmurowe. Ta najlepsza praktyka, która może ujawnić luki w zabezpieczeniach, zanim zostaną wykorzystane przez hakera lub oznaczone podczas audytu zewnętrznego.
#9. Przygotuj się na zmiany
Ostatni na liście, ale nie mniej ważny punkt – „Przygotuj się na zmiany”.
Obecnie przeciętne przedsiębiorstwo korzysta z około dwóch tysięcy usług w chmurze, co stanowi wzrost o 15% w stosunku do ubiegłego roku, głównie za sprawą rozwoju SaaS. Prawdopodobnie Twoja organizacja posiada teraz wiele nowych aplikacji webowych lub SaaS.
Jeśli pracujesz w środowisku DevOps, nowe osoby i systemy stale uzyskują dostęp do Twojej instancji AWS lub innych platform chmurowych.
Sporadyczne skanowanie w poszukiwaniu uprzywilejowanych kont nie zapewni Ci widoczności i kontroli, której potrzebujesz. Powinieneś zaimplementować proces ciągłego wykrywania wszystkich typów kont w chmurze. Dzięki temu będziesz mógł stale nadzorować, czy uprawnienia są odpowiednio skonfigurowane.
Aby dopasować się do oczekiwanego wzrostu liczby uprzywilejowanych kont, aplikacji w chmurze i użytkowników, najlepiej zastosować oparte na chmurze rozwiązanie PAM, które daje Ci możliwość skalowania bez spowalniania innych zasobów lub utraty kontroli.
W organizacjach DevOps, w których cały zakres zasobów chmurowych jest stale tworzony, używany i wycofywany na dużą skalę, PAM automatyzuje szybkie i dyskretne tworzenie, archiwizowanie, odzyskiwanie i rotację.
Dowiedz się więcej o bezpieczeństwie PAM dla systemów chmurowych:
- Pobierz eBook
„Critical Controls for Modern Cloud Security” - Obejrzyj webinar i posłuchaj, co mówią nasi eksperci
„Top Cloud Security Use Cases: Plus a Sneak Peek of how DevOps Secrets Vault helps secure your CI/CD Environment” - Dowiedz się więcej o Secret Server: Secret Server Product Update
„Enhancements for the New Reality of Cloud and Remote Work”
PAM w chmurze. Potężny. Bezpieczny.
Wypróbuj jedyne na świecie kompleksowe rozwiązanie CLOUD PAM klasy korporacyjnej.
Kliknij tutaj, aby wypróbować za darmo.
Więcej informacji o Thycotic znajdziesz tutaj.
Jeśli masz pytanie, skontaktuj się z nami.
Źródło: www.thycotic.com
Autor: Barbara Hoffman (Thycotic)