Aşırı ayrıcalıklar, güvenlik profesyonelleri için sürekli bir baş ağrısıdır. Daha fazla kuruluş varlıkları buluta taşıdıkça, aşırı izinlere sahip kullanıcılar bir saldırının patlama yarıçapını genişleterek kuruluşları her türden kötü niyetli etkinliğe açık bırakabilir.
Bulut ortamları, güvenlik çemberi olarak kimliğe güvenir ve kimlikler mantar gibi çoğalıyor ve “kimliğin yayılmasını” ciddi bir sorun haline getiriyor. Uygulamalar, bağlı cihazlar ve diğer hizmetler tarafından kullanılan makine kimlikleri hızla büyürken, kullanıcılar genellikle birçok kaynağı ve cihazı kapsayan birden çok kimliğe sahiptir.
Saldırgan bir kimliği tehlikeye atmayı başararak ortamda bir yer edinmesine ve bu ayrıcalıklardan yararlanarak bulut ortamında yanal olarak hareket etmesine veya hatta diğer birçok varlık ve kaynağa daha fazla zarar vermek için izinleri artırmasına izin verirse bu bir sorun haline gelir.
Buluttaki geniş saldırı yüzeyini ve gereksiz riski ele almanın bir yolu, tam zamanında (JIT) ayrıcalıklı erişim uygulamaktır. Bu yaklaşım, bir kimliğe iptal edilmeden önce ayrıcalıklı erişim verilme süresini sınırlar. Bir saldırgan kimlik bilgilerini ele geçirse bile, yalnızca geçici olarak ayrıcalıklı erişime sahip olabilir veya hiç olmayabilir. Bu kritik bir savunma mekanizmasıdır.
Basitçe söylemek gerekirse, JIT ayrıcalıklı erişimi yalnızca geçici olarak verir ve ilgili görev tamamlandığında iptal eder. JIT, bir zaman faktörü eklemek için en az ayrıcalıklı bir çerçeve üzerine kuruludur, böylece kullanıcılar yalnızca işlevlerini yerine getirmek için ihtiyaç duydukları kaynaklara ve yalnızca bu işlevleri yerine getirirken erişebilirler. Bununla birlikte, aşırı ayrıcalıklar, mümkün olan her yerde varsayılan olarak ortadan kaldırılmalıdır.
“Doğru boyutlandırma izinleri”, güvenlik uzmanları için moda bir kelime haline geldi, ancak bu bir meydan okuma. İyi bir bulut güvenliği için gerekli olan türde ayrıntılı izin yönetimini manuel olarak zorlamak (hangi ayrıcalıkların gerekli olduğunu ve işi bitirebilecek en düşük yükseltmelerin neler olduğunu belirlemeye çalışmak) hem kullanıcılar hem de kullanıcılar için zaman alıcı ve sinir bozucu olabilir. güvenlik ekipleri.
Kuruluşların endişelenmek için nedenleri var. Yıllık Verizon Veri İhlali Soruşturmaları Raporu’nun defalarca belirttiği gibi: kimlik bilgileri herhangi bir ağdaki zayıf halka olabilir. En son rapor, çalınan kimlik bilgilerinin kullanımının son beş yılda yaklaşık %30 arttığını belirtiyor. İhlallerin büyük bir kısmı kimlik bilgilerinin çalınmasına ve kötüye kullanılmasına kadar izlenebildiğinden, hesap güvenliğinin aşılmasının potansiyel kapsamını sınırlamak, güvenliği artırmada çok büyük bir etkiye sahip olacaktır.
JIT erişimi nasıl uygulanır?
JIT erişimini dağıtmak, kullanıcıların kim olduğu, hangi ayrıcalıklara sahip oldukları ve insan ve makine kimlikleri olup olmadıkları da dahil olmak üzere hangi ayrıcalıklara ihtiyaç duydukları konusunda net bir görüş elde etmekle başlar. Kullanıcı bir mühendis veya geliştirici mi, yönetici veya güvenlik görevlisi mi?
Bir kullanıcı onaylanmayı beklerken iş durdurulamaz. Otomasyonun geçici ayrıcalıklar sağlamak ve gerekli olmadıklarında bunları iptal etmek için uygulanabilir bir sistem sağlayabileceği yer burasıdır.
Birkaç en iyi uygulama, güvenlik ekiplerinin otomatikleştirilmiş JIT uygulamasına yardımcı olabilir:
- Bir self servis portalı: Güvenlik personeli, kullanıcı anlaşmazlığının yaratıcıları olarak kötü bir şöhrete sahiptir, bu nedenle iş akışlarını düzeltebilen herhangi bir araç iyi bir şeydir. Bir self-servis portalı, kullanıcıların yükseltilmiş ayrıcalıklar talep etmesine ve onay sürecini takip etmesine izin vererek anlaşmazlığı azaltabilir. Bu, gecikmeleri ve çatlaklardan düşen istekleri azaltırken aynı zamanda otomatik izin yönetimini etkinleştirerek bulut saldırı yüzeyini azaltır ve izleme etkinliği için bir denetim izine yol açar.
- Düşük riskli istekler için politikaları otomatikleştirin: Üretim dışı ortamlarda çalışma gibi düşük riskli faaliyetler içeren basit istekler, istekleri sınırlı bir süre için ve insan müdahalesi olmadan onaylayan politikalarla otomatikleştirilebilir.
- Sürecin her adımı için sahipleri tanımlayın: Otomasyon, iş süreçlerinin kontrolünden vazgeçmek anlamına gelmemelidir. İstenmeyen eylemlerin meydana gelmemesini sağlamak için izlenmesi gerekir. Sürecin her adımı (isteklerin gözden geçirilmesi, uygulamanın izlenmesi ve ayrıcalıkların iptal edilmesi) bir sahip atanmalı ve daha karmaşık ve hassas istekler, gerektiğinde bir insan tarafından incelenmeli ve onaylanmalıdır.
JIT uygulayarak, güvenlik ekipleri en az ayrıcalıklı bir modele ulaşmaya ve sıfır güven güvenliği uygulamaya daha da yaklaşabilir. Otomasyon, zaten zayıf olan güvenlik ekipleri için daha fazla iş veya kullanıcılar için çevikliklerini ve verimliliklerini etkileyen sürtüşmeler yaratmadan, gerektiğinde izin verme ve iptal etme sürecini hızlandırarak bunu mümkün kılabilir.