BeyondTrust. Διαχείριση προνομιακής πρόσβασης σε multicloud περιβάλλοντα πληροφορικής
Διαχειριστής, υπερχρήστης (superuser), root – διαφορετικά ονόματα με την ίδια έννοια: ένας λογαριασμός που έχει τον απόλυτο έλεγχο ενός συστήματος. Στον κόσμο των Windows, αυτός ο λογαριασμός ονομάζεται Διαχειριστής. Στα λειτουργικά συστήματα Linux και Unix, ο συγκεκριμένος λογαριασμός ονομάζεται root. Στον κόσμο του macOS, ο αντίστοιχος λογαριασμός είναι Διαχειριστής (Admin) εφόσον εργάζεστε στο περιβάλλον χρήστη (UI) και root εφόσον εργάζεστε στη γραμμή εντολών (command line).
Ανεξάρτητα από το πως ονομάζονται αυτοί οι εξαιρετικά προνομιούχοι λογαριασμοί, έχουν μεγάλη δύναμη και εξουσία στο σύστημα και, όπως συνηθίζουμε να λέμε, «με τη μεγάλη δύναμη έρχεται και μεγάλη ευθύνη». Αυτός είναι και ο λόγος που οι περισσότερες εταιρείες εφαρμόζουν την αρχή του ελάχιστου προνομίου (PoLP) ως μέρος του προγράμματος ασφαλείας τους. Το PoLP μπορεί να περιλαμβάνει την επιβολή διαχωρισμού των προνομίων, όπως η διάσπαση των ευθυνών διαχείρισης σε διαφορετικούς λογαριασμούς. Επομένως, αντί να έχετε έναν μόνο λογαριασμό με δυνατότητες προσθήκης/ διαγραφής χρηστών, δυνατότητες αλλαγής διαμορφώσεων και την εκτέλεση αντιγράφων ασφαλείας, μπορείτε όλες αυτές τις εργασίες να τις κατανείμετε σε τρεις λογαριασμούς χρήστη, μειώνοντας τον κίνδυνο πρόκλησης σημαντικής ζημιάς σε κάποιον διακομιστή σας από έναν και μόνο χρήστη. Η επιβολή επίσης της αρχής του ελάχιστου προνομίου (PoLP) σημαίνει επίσης και τον περιορισμό της πρόσβασης κάθε χρήστη σε αυτό και μόνο που απαιτείται για να κάνει τη δουλειά του. Αν για παράδειγμα δεν υπάρχει λόγος για κάποιον χρήστη να εγκαταστήσει νέο λογισμικό στον φορητό (εταιρικό) υπολογιστή, προχωρήστε στην αφαίρεση του συγκεκριμένου προνομίου από τον λογαριασμό του. Αν υπάρχουν υπάλληλοι που δεν απαιτείται -για τη δουλειά τους- να έχουν πρόσβαση στη βάση δεδομένων με την πλέον ευαίσθητη πνευματική ιδιοκτησία της εταιρείας μπορείτε να αποκλείσετε την πρόσβαση τους σε αυτήν.
Ασφάλεια προνομιακής πρόσβασης: 6 συμβουλές για περιβάλλοντα multicloud
Η αρχή της επιβολής του ελάχιστου προνομίου (PoLP) αποτελεί μία δοκιμασμένη σε πραγματικές συνθήκες προσέγγιση, ωστόσο ορισμένες εταιρείες δεν την εφαρμόζουν επειδή δεν γνωρίζουν πως να το κάνουν ή επειδή πιστεύουν ότι απαιτείται πολύς χρόνος για τη σωστή συντήρησή της. Και είναι κρίμα, επειδή μία ισχυρή, βασισμένη στο PoLP προσέγγιση, μπορεί να προσφέρει εξαιρετική προστασία, καθώς περιορίζει την «ακτίνα» των επιθέσεων και μειώνει σημαντικά τη συνολική επιφάνεια επίθεσης μίας εταιρείας.
Καθώς οι εταιρείες εξακολουθούν να ασπάζονται και να επωφελούνται από τη δύναμη του cloud, η ικανότητα τους στη διαχείριση των προνομίων γίνεται ολοένα και πιο σημαντική. Δυστυχώς, λόγω των πολλών διαφορετικών υπηρεσιών cloud που χρησιμοποιούν σήμερα οι οργανισμοί, η εφαρμογή του PoLP συνοδεύεται από αυξημένη πολυπλοκότητα. Το πολύπλοκο ή σύνθετο ωστόσο δεν σημαίνει απαραίτητα και… αδύνατο. Συνεπάγεται ωστόσο κάποιον προγραμματισμό εκ των προτέρων.
Ακολουθούν 6 συμβουλές που θα βοηθήσουν την εταιρεία σας να αξιοποιήσει τα οφέλη του περιβάλλοντος multicloud, χωρίς θυσίες στην ασφάλεια και στον έλεγχο όπως γίνεται με την παροχή υπερβολικών προνομίων σε μεμονωμένους χρήστες.
1.Βάλτε σε τάξη τις… ταυτότητες – Το PoLP απαιτεί πλήρη κατανόηση του «ποιος πρέπει να κάνει τι» εντός του οργανισμού σας. Αν δεν έχετε προχωρήσει στον πλήρη έλεγχο/ αξιολόγηση της ταυτότητας, για όλους τους χρήστες της υποδομής σας, τόσο «on-premises» όσο και στο cloud, τώρα είναι η κατάλληλη ώρα για να το κάνετε. Για φόρτους εργασίας στο cloud, μην ξεχάσετε να συμπεριλάβετε τους υπερχρήστες σας για το instance που διατηρείτε στο cloud, τους service principals, την πρόσβαση σε εργαλεία ενορχήστρωσης και το εργαλείο διαχείρισης φόρτων εργασίας (όπως το Kubernetes). Μην ξεχνάτε ότι οι εφαρμογές είναι και αυτές χρήστες, πράγμα που σημαίνει ότι η πρόσβαση σε εφαρμογές και APIs πρέπει να ελέγχεται εξίσου.
2.Εστιάζοντας στον διαχειριστή (admin) – Οι εισβολείς αποκτούν «στέρεη βάση» δημιουργώντας προνομιούχους λογαριασμούς για αποκλειστική, ιδία χρήση. Πολλές επιθέσεις από το εσωτερικό επίσης είναι δυνατές μόνο και μόνο επειδή ένας συγκεκριμένος χρήστης κατέχει υπερβολικά προνόμια. Επομένως, φροντίστε ιδιαιτέρως να αναζητήσετε ταυτότητες (IDs) και εφαρμογές με ευρεία πρόσβαση -καθώς τις εντοπίζετε, αφαιρέστε δικαιώματα ή ανακαλέστε εντελώς την πρόσβαση τους, εφόσον δεν είναι απαραίτητη.
3.Ο χρόνος είναι στο πλευρό σας – Η πρόσβαση βάσει χρόνου είναι ένας εξαιρετικά αποτελεσματικός τρόπος περιορισμού της επιφάνειας επίθεσης. Είναι απαραίτητο η θύρα 22 (για ssh) να είναι πάντα ανοιχτή;- ή μόνο όταν απαιτείται να συνδεθεί κάποιος διαχειριστής; Όπου μπορείτε, εφαρμόστε την πρόσβαση διακομιστή JIT (Just-In-Time) για να περιορίσετε την απομακρυσμένη πρόσβαση. Επίσης, κάντε έναν έλεγχο για να διαπιστώσετε ποιοι λογαριασμοί ήταν αδρανείς για μεγάλο χρονικό διάστημα – οι συγκεκριμένοι χρήστες εξακολουθούν να χρειάζονται πρόσβαση ή μπορούν να αφαιρεθούν;
4.Εκσυγχρονισμός της διαχείρισης κωδικών πρόσβασης – Δεν είναι ασυνήθιστο να βλέπουμε να γίνεται επαναχρησιμοποίηση ενός κωδικού πρόσβασης σε μεγάλες υποδομές cloud. Και αυτό ισοδυναμεί με μεγάλη αδυναμία για έναν οργανισμό καθώς μπορεί να εκθέσει περιουσιακά στοιχεία και προσωπικά δεδομένα. Αυτή η αδυναμία μπορεί να ελαχιστοποιηθεί ή ακόμα και να εξαλειφθεί με τη χρήση εκσυγχρονισμένων προσεγγίσεων διαχείρισης κωδικών πρόσβασης, όπως είναι το OTP (one time password), το MFA (πολυπαραγοντικός έλεγχος ταυτότητας) και ο περιορισμός ταυτόχρονων συνδέσεων. Η διαχείριση μυστικών βοηθά επίσης με τους κωδικούς πρόσβασης και τα κλειδιά εφαρμογών.
5.Κανονικοποιήστε το προνόμιο Cross-Cloud – Οι μεγάλοι CSP (πάροχοι υπηρεσιών cloud) παρέχουν εξαιρετικά εργαλεία για τη διαχείριση του instance σας, ωστόσο το πιθανότερο είναι η εταιρεία σας να μην χρησιμοποιεί μόνο μία υπηρεσία cloud, αλλά να λειτουργεί σε πολλαπλά σύννεφα για IaaS και SaaS. Αυτός είναι ο λόγος για τον οποίο είναι σημαντικό να εφαρμόσετε μια λύση διαχείρισης ταυτοτήτων που λειτουργεί σε όλους τους παρόχους cloud και μπορεί να κλιμακωθεί γρήγορα σε νέες περιπτώσεις.
6.Βελτιστοποιήστε και ιχνηλατήστε – Όλη αυτή η προεργασία ισοδυναμεί με μείωση του κινδύνου για τον οργανισμό σας. Ωστόσο, όταν έρθει η ώρα να κοινοποιήσετε την αποτελεσματικότητα των προσπαθειών σας για τη μείωση του κινδύνου στην εκτελεστική ηγεσία ή σε έναν ελεγκτή, το ενοποιημένο reporting είναι αυτό που παρέχει τα αποδεικτικά στοιχεία που χρειάζεστε για να δείξετε ότι το πρόγραμμα λειτουργεί. Εκτός από τις συγκεντρωτικές αναφορές για τη διαχείριση ταυτοτήτων, ενσωματώστε διαρκή cross-cloud παρακολούθηση της διαχείρισης της πρόσβασης, πραγματοποιείτε συνεχείς ελέγχους και φροντίστε να λαμβάνετε ειδοποίηση κάθε φορά που δημιουργείται ένας νέος λογαριασμός υπερχρήστη.
Για περισσότερες πληροφορίες για αυτό το θέμα, ρίξτε μια ματιά στο κατ’ απαίτηση διαδικτυακό σεμινάριο: PoLP in a Multicloud World.
Πηγή: BeyondTrust