PAM и облачная безопасность: аргументы в пользу постоянных нулевых привилегий

Облако представило совершенно новые среды, роли и обстоятельства, требующие от нас переосмысления управления привилегированным доступом (PAM) и применения методов управления аккаунтом. PAM создавался на представлении, что личными данными нужно не просто управлять, а защищать их с целью удержать в безопасности ценнейшие активы организации. Общепризнанные ценности PAM остаются очень желанными – минимальные привилегии, контроль доступа на основе ролей и возможность аудита сеансов с высоким риском. Задача состоит в применении всех этих принципов к новым условиям, ролям и обстоятельствам.

Новые облачные среды — новые требования безопасности

Разграничить ответственность за безопасность в локальных средах относительно просто, поскольку на каждом уровне инфраструктуры можно провести четкие границы. Существует физический центр обработки данных, физические сетевые кабели, отдельные сетевые протоколы, проходящие через провода, физические стойки, содержащие вычислительные устройства или хранилища — и так по всему IT-стеку.

Эти линии разделения и распределения обязанностей полностью исчезают в облачных средах, независимо от того, работаете ли вы в гибридной среде (поднимая и перемещая рабочие нагрузки в облако) или используете облачный подход (создаете программы с помощью архитектуры микросервисов).

Illustration

Возможно, обычным примером использования облака является то, что пользователь AWS предоставляет бакет простой службы хранения (S3) для хранения электронных файлов. В локальном мире это эквивалентно тому, что кто-то проникает в центр обработки данных, толкает стойку на тележке в центр обработки данных, размещает стойку в центре обработки данных, подключает к ней жесткие диски и кабели Ethernet. Понятно, что это никогда не будет разрешено в традиционных локальных условиях, и это демонстрирует, почему мы не можем рассматривать доступ к поставщику облачных услуг (CSP) как еще одну консоль в облачных средах. 
Наш анализ трех основных CSP показывает, что пользователь может получить доступ к примерно 1400 собственным службам (например, AWS S3, Microsoft Azure Kubernetes Service или Google Cloud BigQuery), которые вместе имеют 40 000 различных средств контроля доступа… и это количество растет ежедневно. 
Разумеется, мы не можем применить традиционное понятие небольшого количества ролей администратора со статическими привилегиями к этой динамической среде. 

Анализ трех основных CSPS, проведенный CyberArk, показывает, что пользователь может получить доступ примерно к 1 400 нативным сервисам.
В совокупности эти сервисы имеют более 40 000 различных средств контроля доступа

Illustration

Перегрузка администратора и смена ролей

Традиционные приложения имеют простые, четкие границы между администраторами и пользователями. С помощью этих программ обычные пользователи как правило не могут получить доступ к конфиденциальным системам и данным. Например, работник, использующий Outlook, может отправлять и получать электронные письма, но не выполнять изменение настроек POP, SMTP или добавлять/удалять пользователей. Тот, кто имеет доступ к облаку, может получить доступ к 1400 собственным сервисам, начиная от базовых задач, таких как вычисление или хранение, и заканчивая сложными возможностями, такими как механизмы искусственного интеллекта (AI) и машинного обучения (ML). Возможно, для некоторых это удивительно, но среди этих 1400 собственных служб также есть ряд служб SaaS: механизмы рабочего процесса, обработка видео и обмен мгновенными сообщениями. Очевидно, что администратором следует считать любого, кто имеет право покупать и использовать что-либо из вышеперечисленного.

Illustration

Особо важно отметить, что появилась целая новая группа «администраторов»: разработчики программного обеспечения. За несколькими исключениями все современные инструменты и процессы разработки программного обеспечения выполняются в облаке, где и разворачивается полученное программное обеспечение. Все разработчики программного обеспечения теперь считаются облачными администраторами и также должны быть защищены. Однако в целях безопасности идентификационной информации пришлось пожертвовать скоростью разработки.

77% специалистов по безопасности говорят, что разработчики имеют много привилегий, что делает их очень привлекательными мишенями для злоумышленников и увеличивает счета за кибербезопасность. Эти широкие разрешения пользователя были сконфигурированы с учетом всех возможных обстоятельств, с которыми может столкнуться пользователь, поскольку предыдущие системы были негибкими и статическими. Разработчики должны внедрять инновации; они не могут ожидать, пока их общие аккаунты будут созданы и защищены для каждой службы или рабочей нагрузки, к которым они требуют доступа, особенно кратковременного. Этот негибкий подход отклоняется от лучших практик облачных поставщиков и создает неприемлемые задержки в терминах разработки. 

Облачные архитектуры и новые обстоятельства

Развитие микросервисов создало фантастический масштаб, эффективность и экономию средств. Однако это также породило переплетенную сеть зависимостей и сложности для любой настоящей облачной программы. Взаимодействие 700 микросервисов Netflix в 2014 году было действительно изысканным и невиданным зрелищем. Сегодня их у Netflix более 1000 и это никого не удивляет.

Новое обстоятельство, созданное архитектурой облачных микросервисов, заключается в том, что сбой влияет на всех клиентов. Простая изоляция исчезла. Это не единственная монолитная программа ERP или программа электронной почты, на которую влияет только сегмент пользователей. Микросервисная архитектура приложения означает, что это касается всех пользователей. Если любая система имеет неизбежную нестабильность или сбой, инженерам, работающим по вызову, должно быть разрешено бродить по всей производственной среде для устранения неисправностей, диагностики и решения проблемы.

Это одно из многих обстоятельств, которых не существовало в классической IT-среде.

Illustration

Постоянные нулевые привилегии: практический подход к защите Cloud Identity

Для применения принципов нулевого доверия в мире с такими средами, ролями и обстоятельствами, а также для сохранения скорости нужен новый подход: постоянная нулевая привилегия (ZSP). ZSP полностью удаляет все полномочия, связанные с любым пользователем, когда они не используется, но может динамически предоставлять права на ходу для пользователей в зависимости от обстоятельств. Кроме того, система ZSP устраняет возможность бокового перемещения и обеспечивает соблюдение правил против встроенных аккаунтов.

Специалисты по безопасности должны минимизировать доступность и риски, поддерживая при этом скорость работы разработчиков, DevOps и IT. Фокусировка на ZSP является наиболее эффективным способом достижения этих целей, поскольку предотвращает кражу учетных данных и ограничивает латеральное перемещение, позволяя организациям использовать все преимущества облачных вычислений.

Чарльз Чу – генеральный менеджер Cloud Security в CyberArk.