Statik kimlik bilgileri yıllardır bulut güvenliğinde zayıf bir nokta olmuştur. SentinelOne araştırmacıları tarafından hazırlanan yeni bir makale, uzun ömürlü sırlar olmadan iş yüklerinin doğrulanması için pratik bir modelle bu konuyu doğrudan hedef alıyor. Ekip, statik anahtarlara güvenmek yerine, süresi birkaç dakika içinde dolan geçici, doğrulanabilir tokenların kullanılmasını öneriyor.
Statik kimlik bilgilerinden kopma
Araştırmacının temel argümanı, statik anahtarların sıfır güvenle uyumsuz olduğudur. Bu kimlik bilgileri genellikle aylar veya yıllar boyunca dayanır ve çalınmaları halinde saldırganlara bulut kaynaklarına geniş erişim sağlayabilir. Çoklu bulut ayarlarında bunu yönetmek daha da zorlaşır. Her statik anahtar, ortamlarda yeniden kullanılabilecek binlerce sırrın döndürülmesi, denetlenmesi ve güvenliğinin sağlanmasından oluşan operasyonel yüke katkıda bulunur.
Araştırmacılar, modellerini 100’den fazla Kubernetes kümesini ve birden fazla genel bulutu kapsayan büyük bir kurumsal ortamda oluşturup test ettiler. Sistemleri, statik kimlik bilgilerini, iş yüklerinin kimliklerini diğer sistemlere kanıtlamak için kullandığı kısa ömürlü, kriptografik olarak imzalanmış belirteçlerle değiştiriyor.
Zero Networks Saha CTO’su Chris Boehm, Help Net Security’ye, konseptin CISO’ların pratikte sıfır güvene nasıl yaklaşması gerektiğiyle uyumlu olduğunu söyledi. Boehm, “Bir CISO’ya danışmanlık yapıyor olsaydım, onlara görünürlükle başlamalarını söylerdim. Her iş yükünü bilmeli ve kimin veya neyin onunla iletişim kurduğunu anlamalısınız. Daha sonra erişimi gereken minimum seviyeye düşürün ve ayrıcalık yükselmesine yalnızca kontrollü ve izlenen eylemler yoluyla izin verin” dedi.
Açık standartlar üzerine kurulu birleştirilmiş bir model
Yaklaşımlarının merkezinde İş Yükü Kimlik Federasyonu (WIF) ve OpenID Connect (OIDC) yer alıyor. Bu teknolojiler birlikte, iş yüklerinin kimlik bilgilerini yerel olarak depolamak yerine güvenilir kimlik sağlayıcıları aracılığıyla kimlik doğrulaması yapmasına olanak tanır. Uygulamada bu, bir iş yükünün, ortamının kimlik sağlayıcısından imzalı bir JSON Web Belirteci (JWT) talep ettiği anlamına gelir. Token, onu kimin çıkardığı, kimi temsil ettiği ve kimin kabul edebileceği gibi iddiaları içerir.
İş yükü bu belirteci başka bir bulut hizmetine sunduğunda, bu hizmet imzayı kontrol eder ve belirtecin güvenilir bir sağlayıcı tarafından verildiğini doğrular. Doğrulama başarılı olursa bulut bu istek için geçici bir kimlik bilgisi yayınlar. Token kısa ömürlüdür ve belirli bir amaca yöneliktir, dolayısıyla çalınsa bile saldırgan açısından değeri sınırlı olacaktır.
Araştırmacılar bunu, kimlik ve güvenin yerleşik, denetlenebilir ilişkiler aracılığıyla bulutlar arasında aktığı birleşik bir yaklaşım olarak tanımlıyor. Her istek bağımsız olarak doğrulanır; bu da “her zaman doğrula” sıfır güven ilkesini destekler.
Kurumsal ölçekte test edildi
SentinelOne bu mimariyi AWS, Google Cloud ve Azure’daki iş yüklerini içeren kendi üretim ortamında devreye aldı. Birleştirilmiş modeli benimsemeden önce ortam, hizmet hesapları, kullanıcı kimlikleri ve bulut uygulamaları için binlerce uzun ömürlü anahtar kullanıyordu.
Vardiyanın ardından bu statik anahtarlar, bir saatten daha az dayanabilen isteğe bağlı tokenlarla değiştirildi. Bu, ortalama kimlik bilgisi ömrünü yüzde 99’dan fazla azalttı ve platformlar arasında gizli bilgileri yönetme yükünü azalttı. Ekip ayrıca güven modelinin merkezileştirilmesi ve takibinin kolaylaşması nedeniyle uyumluluk denetimleri için gereken sürenin de yüzde 80 azaldığını bildirdi.
Geliştiriciler için bulutlar arası güvenli erişimin sağlanması günler almaktan dakikalara indi. Sistem, iş yükünün ne kadar süre boyunca yapabileceğini sınırlamak için her belirteç içindeki talepleri kullanarak en az ayrıcalığı otomatik olarak zorlar.
Kısa süreli erişim yoluyla riski azaltmak
Makale, statik kimlik bilgilerinin ve birleştirilmiş belirteçlerin risk modellerini karşılaştırmaktadır. Eski modelde genel risk, anahtarların sayısı, bunların uzun ömürleri ve sıklıkla taşıdıkları geniş izinlerle birlikte artar. Yeni model, kullanım ömrünü ve kapsamı azaltarak bu durumu değiştiriyor. Bir jeton yalnızca 60 dakika boyunca mevcut olabilir ve bir iş yüküne veya API’ye bağlı olabilir. Bu, herhangi bir uzlaşmanın “patlama yarıçapını” azaltır.
Yazarlar, kalıcı kimlik bilgilerinden geçici belirteçlere geçişle operasyonel karmaşıklığın da azaldığını gösteriyor. Ekipler binlerce sırrı yönetmek yerine yalnızca birkaç güvenilir kimlik sağlayıcıyı yönetir. Bu, manuel çalışmayı azaltarak ve kaynak tekrarını sınırlayarak maliyetleri kontrol etmeye yardımcı olur.
Bilinen tehditlere karşı yerleşik savunmalar
Çerçeve birçok yaygın riski ele almaktadır. Bir hizmetin yetkisini kötüye kullanması için kandırıldığı “Kafası Karışık Vekil” sorunu, her tokendaki hedef kitle talebiyle önlenir ve bu, hizmetin yalnızca amaçlanan hedef tarafından kullanılabilmesini sağlar. Model aynı zamanda sırları dosyalarda veya sır yöneticilerinde saklama ihtiyacını da ortadan kaldırarak kimlik bilgileri dağıtımı sırasında sızıntı riskini azaltır.
Üçüncü taraf entegrasyonları için, satıcının kimlik sağlayıcısıyla federasyon aracılığıyla güven oluşturulabilir ve gerektiğinde anında iptal edilebilir. Bu, statik tuşların döndürülmesinin yavaş ve belirsiz sürecini önler.
Sürekli doğrulama yeniden tanımlandı
Sıfır güvendeki en önemli fikirlerden biri, SentinelOne çerçevesinin her iş yükü etkileşiminin yeniden kimlik doğrulamasını gerektirerek desteklediği sürekli doğrulamadır. Boehm, bu kavramın sıklıkla yanlış anlaşıldığını belirtti. “Sürekli doğrulama, daha fazla MFA istemi veya daha katı NAC kuralları anlamına gelmemelidir” dedi. “Bunlar, verilen ikinci erişimle sona eren anlık kontrollerdir. Gerçek sürekli doğrulama, güveni dinamik olarak yeniden değerlendirmek için süreç etkinliği, iletişim kalıpları ve zamanlama gibi davranışsal ve bağlamsal sinyallerin kullanılmasıyla elde edilir.”
Onun görüşü, araştırmanın iş yükü düzeyinde örtülü güveni en aza indirmeye odaklandığını yansıtıyor. Makale, kimlik federasyonunun kısa ömürlü belirteçlerle birleştirilmesiyle her isteğin, statik kimlik bilgileri yerine yeni verilere dayalı olarak kendi güven kararı haline geldiğini gösteriyor.
Dinamik yetkilendirmeye giden yol
Mevcut çalışma kimlik doğrulamaya odaklanırken, yazarlar genişleme alanı görüyorlar. Bu sistemi, belirteçlerin proje etiketleri veya iş yükü meta verileri gibi bağlamsal bilgileri içerebileceği öznitelik tabanlı erişim kontrolüne (ABAC) bağlamayı öneriyorlar. Bu, erişim kararlarının niteliklere göre dinamik olarak değişmesine olanak tanır.
Ayrıca, bir tokenın yalnızca belirli bir görev veya iş süresince var olacağı “tam zamanında” kimlik bilgisi verilmesi fikrinden de bahsediyorlar. Bu, saldırganların çalınan kimlik bilgilerinden yararlanma penceresini daha da daraltacaktır.