Bulutun yükselişi işletmeyi daha çevik, esnek ve düzenli hale getirdi; bu nedenle işletmelerin %90’ından fazlası çoklu bulut stratejisini benimsemiştir. Ancak karmaşıklık, sırların sızdığı yerlerde dikişler oluşturur. Microsoft ve havaalanlarındaki son yüksek profilli ihlaller, yanlış yapılandırılmış S3 klasörlerini bir siber güvenlik kinayesi haline getirdi. Ancak, yapılandırma sorunları tek sorun değil: son rakamlara göre erişim sürünmesi de aynı derecede tehlikeli ve yaygın.
Aşırı yetkilendirme, bir hizmet veya hesap, genellikle daha sonra ihtiyaç duyulursa geri dönüp yeni izinler istemek zorunda kalmamak için, muhtemelen kullanabileceği tüm izinleri talep ettiğinde veya gerektirdiğinde gerçekleşir. Bu, tek sunucu düzeyinde bile harika bir durum olmaz, ancak çeşitli hizmetler ve satıcılar etkileşimde bulunurken, her biri kendi yüksek düzeyde izin verdikçe, uzlaşma şansı artar.
Bulut güvenlik şirketi Permiso, 2022 yıl sonu özetinde, bulut güvenliği duruş yönetimi (CSPM) satıcılarının kendilerine verilen izinlerin yalnızca bir kısmını kullandıklarını bildirdi: sadece 1/10’dan fazla veya %11. Bu, tüm kullanıcılar ve roller genelinde %5,3’e kadar küçülür. Bu, kimsenin açmaya ihtiyaç duymadığı bir sürü kilitli kapı.
Analizinin sonuçları, AWS, Azure, Google Bulut Platformu ve vSphere’deki kimliklerin %90-95’inin %2-%5’inden fazlasını kullanmadığını tespit eden iki yıl önceki bir CloudKnox anketinin sonuçlarıyla çelişiyor. verilen izinler.
“Çoğu ekip, bu sırların yalnızca kendilerine sağlanan kişiler veya iş yükleri tarafından kullanıldığını varsayar, ancak gerçekte, bu sırlar genellikle paylaşılır, nadiren döndürülür, uzun ömürlüdür ve tek kullanımlık değildir, yani tıpkı şifreler gibi, Permiso ekibi, yaşlandıkça daha savunmasız hale geliyorlar” diye yazdı.
Ve sorun da burada yatıyor. Kuruluşlar genellikle insan kullanıcılar için izin ayarlama konusunda oldukça katıdır, ancak makine kimlikleri için istenen varsayılan izinlere izin verme eğilimindedirler. Bu, tehdit aktörlerinin kurumsal bulutun çoğu üzerinde ayrıcalıklı erişim elde etmek için yalnızca aşırı geniş izin verilen bir hesaba girmenin bir yolunu bulması gereken bir duruma yol açar. Kubernetes yönetişim hizmeti FairWinds’in başkanı Kendall Miller, “Veritabanınızı mükemmel bir şekilde kilitlemiş olabilirsiniz, ancak bu veritabanına erişimi olan bir hizmet herkesin girmesine izin veriyorsa, veritabanınızın güvenliği ihlal edilmiş demektir.” 2021.
Ve 2022 yılı için Permiso, yanlış yapılandırılmış bir bulut kaynağından ziyade, “tespit ettiğimiz ve yanıtladığımız tüm olayların, güvenliği ihlal edilmiş bir kimlik bilgilerinin sonucu olduğunu” açıkça ilan etti.
Bu riski yönetmenin anahtarı, izinleri denetlemek ve yalnızca insanlar için değil, tüm kullanıcılar için güçlü kimlik erişim yönetimi (IAM) politikaları oluşturmaktır. Bu, bir uygulamanın gerçekte hangi verilere erişmesi gerektiğini ve neye ihtiyaç duymadığını belirlemekle başlar. Bir yazılım kuruluş şeması, uygulamalar arasındaki erişim yollarının izlenmesinde ve izinlerin atanmasında veya kısıtlanmasında yardımcı olabilir.