Bulutta hata yapmak ve ayarları yanlış yapılandırmak kolaydır — sadece sorun AWS’de CISO Ofisi direktörü Mark Ryland.
Ryland, Black Hat’ta yaptığı bir röportajda, AWS müşterilerinin API’leri çağırması gereken bir uygulama veya iş yükü için bir ilke oluşturduğunda, bu bir EC2 rolü veya bir IAM kullanıcısı olsun, erişim düzeyini ve bu ilkeye tahsis edilen izinleri sınırlamaları gerektiğini söyledi. ABD 2023.
Çoğu zaman kuruluşlar “kimlikleri ve kimlik sistemindeki ilkeleri ile en az ayrıcalıklı çalışma yapmıyor” dedi. “Bana göre hala gördüğüm 1 numaralı şey bu.”
Bu, özellikle yazılım entegrasyonlarında yaygındır. Ryland, “Yazılımın yalnızca yaptığı bir dizi işlem vardır ve yapmadığı tüm işlemler için izne ihtiyacı yoktur,” dedi.
AWS, genel bulut altyapısı pazarına hakim durumda. toplam harcamanın üçte biri Synergy Research Group’a göre, 30 Haziran’da sona eren üç aylık dönemde.
Yanlış yapılandırmalar, siber saldırılarda merkezi ve kalıcı bir rol oynar. Zayıf kimlik ve erişim yönetimi, 5 uzlaşmadan 3’ünden fazlası ile doğrudan bağlantılı bu ayın başlarında yayınlanan Google Cloud araştırmasına göre bulutta.
Bu yanlış yapılandırmaların siber saldırılar için yarattığı açıklıklardan kaçınılabilir.
Bir yazılımın çalışırken yürüttüğü 25 işlem olabilir. EC2 üzerinde çalışan yazılımların S3’ten bazı yapılandırmaları indirmesi veya ilişkisel veritabanı hizmetlerinden bir yedeklemeyi tetiklemesi gerekebilir.
Ryland, “Yapmanız gereken, o yazılımın ayrıcalıklarını, yani yazılımın çalıştığı prensibi, bu 25 işlemle sınırlamaktır,” dedi.
Bu, maruziyeti ve riski en başından sınırlar.
Ryland, “Bu şekilde, kimlik bilgileri bir şekilde sızdırılırsa veya bir şekilde saldırıya uğrarsanız ve biri kimlik bilgilerini çalarsa, o zaman bu 25 şeyi yapabilirler,” dedi.
Ryland, “Ama IAM ilkelerinizi değiştiremezler, yeni ilkeler ekleyemezler, hiçbir şey üzerindeki izinleri değiştiremezler,” dedi. “Daha güçlü operasyonların her türlüsü, çalınan kimlik bilgileriyle bunu yapmaya kesinlikle güçleri yok.”
Yine de bazı AWS müşterileri, zamandan tasarruf etmek ve entegrasyonların bozulmasından kaçınmak için bir yazılım parçasına en baştan tam izinler verecektir.
Bu gereksiz yere genişleyen izinler, kendilerini saldırganlar için zayıf noktalar olarak gösterir.
Ryland, “Yazılım saldırıya uğradı ve artık kötü adamlar çok güçlü bir kimlik bilgisine sahip oldu” dedi.
Bulut müşterileri, bir yazılımın son 30 gün içinde çağırdığı API’lere bakarak erişimin nerede sınırlandırılacağını belirleyebilir. AWS, yalnızca gerekli izinlere izin veren ancak 31 gün önce gerçekleşmiş meşru bir API çağrısını içermeyebilecek bir otomatik politika da oluşturabilir.
Ryland’a göre AWS, geçmiş kullanıma dayalı olarak ayrıcalıkları otomatik olarak kilitlemek için bir özellik geliştirebilir, ancak kuruluşların süreçte bir şeylerin bozulması riskini kabul etmesi gerekir.
Ryland, “Bunu henüz yapmadık, ancak bu, insanları harekete geçirmek ve işleri insanlar için kolaylaştırmak için başka neler yapabileceğimizi düşünmek zorunda olduğunuz bir örnek,” dedi. “Bunun üzerinde çalışmaya devam etmeliyiz.”
Açıklama: Black Hat ve Cybersecurity Dive’ın her ikisi de Informa’ya aittir. Black Hat’in Cybersecurity Dive’ın kapsamı üzerinde hiçbir etkisi yoktur.