Celá řada studií v poslední době zmiňuje mezery v zabezpečení IT infrastruktury spojené s chybami v konfiguraci podnikových cloudů. Tématu se věnuje také studie 2023 TotalCloud Security Insights společnosti Qualys, podle které jde v souvislosti s cloudem o vůbec nejčastější příčinu bezpečnostních incidentů.
Bezpečnostní mezery mají podle analýzy původ „v řídicích nastaveních aplikovaných na hardwarové i softwarové prvky v rámci cloudového prostředí“. Zvyšují riziko narušení dat a neoprávněného přístupu v důsledku mnoha faktorů.
Hlavními příčinami vzniku těchto chyb podle studie jsou
– složitost cloudových prostředí
– nedostatek odborných znalostí, neschopnost držet krok s rychlým vývojem technologií
– nezabezpečená nastavení a oprávnění způsobená náhodnými lidskými chybami
– příliš rychlé nasazení aplikací ohrožující implementaci bezpečnostních opatření
– nedostatečné řízení a viditelnost nešifrovaných nebo citlivých dat v cloudu kvůli dynamické povaze cloudových prostředí
Analýza dále představuje i konkrétní problémy s chybnou konfigurací cloudu zjištěné u tří hlavních poskytovatelů veřejného cloudu: Amazon Web Services (AWS), Microsoft Azure a Google Cloud Platform (GCP).
Šifrování
Většina poskytovatelů cloudových služeb nabízí šifrování za nulové dodatečné náklady. Jeho zapnutí je obvykle jednoduché – zaškrtnutí políčka v nastavení konfigurace. Navzdory jednoduchosti není toto zásadní ovládání všeobecně implementováno. V rámci Azure není 99 % disků buď šifrováno, nebo nepoužívá klíče CMK (Customer-Managed Key); a u klíčů CMK není u 85 % klíčů zajištěna rotace. Stejná míra rizika se týká i prostředí GCP, kde 97,5 % disků virtuálních počítačů pro kritické virtuální stroje není šifrováno pomocí šifrovacích klíčů dodaných zákazníkem (CSEK, Customer-Supplied Encryption Keys).
Správa identit a přístupu
Špatná úroveň implementace IAM (Identity and Access Management) se vyskytuje u všech tří hlavních poskytovatelů. Například vícefaktorová autentizace (MFA) v AWS není povolena u 44 % uživatelů IAM. Analyzátor přístupu IAM není povolen u 96 % účtů prověřených společností Qualys. V Azure selhávají kontroly povolení ověřování a konfigurace klientských certifikátů v rámci služby Azure App Service v 97 % případů.
Další problémy
Běžnou chybnou konfigurací uživatelů všech hlavních poskytovatelů cloudu je neúmyslné ponechání dat určených třetím stranám jako veřejně přístupných. Nedostatečná ochrana těchto dat může mít i kaskádový dopad na zabezpečení ostatních cloudových služeb. Pohodlí práce s cloudovými prostředky odkudkoli bez použití sítě VPN vede také k rizikům umožňujících potenciálně bezpečnostní narušení. Chybná konfigurace spočívající v ponechání povoleného přístupu z veřejných síti byla zaznamenána u 75 % databází Azure.
Zdroj: Qualys