Loader

Лучшие практики по обеспечению безопасности в облаке

Переход в облако — один из самых значительных технологических сдвигов. Более 80% организаций, работающих в облаке, ежемесячно сталкиваются как минимум с одной взломанной учетной записью, что происходит в результате действий злоумышленников или из-за случайных ошибок.
 
Специфика действий по обеспечению безопасности в облаке может различаться в зависимости от ваших облачных платформ и сценариев использования, однако есть некоторые передовые практики, которым должна следовать каждая организация.  

Многие из них были изучены специалистами компании Thycotic в процессе помощи тысячам компаний планировать, разрабатывать и создавать свои программы PAM для облачных сред.

Приведенный ниже  список передовых методов обеспечения безопасности PAMCloud поможет вам предотвратить взлом привилегированных учетных записей вашей организации и обеспечить наличие средств контроля безопасности для снижения риска успешной кибератаки. Перешлите этот контрольный список своей команде ИТ-безопасности!  

Лучшие рекомендации по обеспечению безопасности в облаке

Best Practice #1. Сопоставьте нормативные  требования с облачными функциями

Соблюдение нормативных требований не является конечной целью кибербезопасности, но это важный шаг для защиты ваших облачных ресурсов, поэтому он занимает первое место в нашем контрольном списке по безопасности облачных сред. Сопоставьте свои политики управления привилегированным доступом с любыми нормативными требованиями, которые предъявляются к вашему бизнесу. Независимо от того, следуете ли вы NIST, CIS Controls или другой передовой платформе для кибербезопасности, обязательно включите в свои политики защиту облачных ресурсов. Задокументируйте свои политики PAM и поделитесь ими со всеми, кто может взаимодействовать с привилегированными учетными записями.

Best Practice #2. Создайте облачный бизнес-офис

Некоторые из наиболее успешных организаций, с которыми работает Thycotic, особенно те, которые приняли концепцию облачных технологий, создают облачный бизнес-офис (CBO). В этой модели передовой практики CBO имеют широкую видимость и осуществляют контроль за всей облачной деятельностью. Они служат центральным пунктом для принятия решений, коммуникаций и управления проектами, чтобы обеспечить соблюдение корпоративной или государственной политики и лучших практик обеспечения безопасности облачных вычислений.

CBO может находиться в ИТ-отделе, но на самом деле он представляет собой межфункциональную команду. Это отличный способ организовать заинтересованные стороны в разных отделах, включая облачных архитекторов, облачных инженеров, разработчиков, операционные группы, группы безопасности, менеджеров по соответствию требованиям / рискам и владельцев бизнеса, которые имеют влияние и перспективы на использование облака и стратегию.

Альянс cloud Architect Alliance организовал мероприятие, посвященное Cloud Business Office, и опубликовал несколько видеороликов, с которыми стоит ознакомиться.

Best Practice #3. Знайте свои обязанности по обеспечению безопасности в облаке

Знаете ли вы, что в подавляющем большинстве случаев неправильной конфигурации облака и несоответствующего контроля виноват клиент, а не поставщик облака? AWS и другие облачные платформы имеют множество руководств по лучшей практике, которые они могут предоставить в отношении настройки корневых учетных записей для серверов, конфигурирования S3 buckets и других параметров. Обязательно следуйте этим руководствам и проверяйте правильность всех настроек.

Управление соответствующим доступом и разрешениями для каждого человека и каждой системы, взаимодействующей с облачными системами, ложится на ваши плечи, а не на плечи поставщика облачных услуг. Эти системы могут включать критически важные приложения или базы данных, хранящиеся в облаке, облачные платформы для разработки приложений или инструменты, используемые вашими бизнес-командами или техническими группами. Доступ к облаку должен быть включен и отслеживаться с помощью тех же политик, процессов и решений PAM, которые вы используете для организации в целом.

Best Practice #4. Внедряйте детальный контроль безопасности для всех типов облачных платформ

Детальный контроль доступа к облаку — одна из лучших практик PAM, которую не удается реализовать многим компаниям. Хотя организации, как правило, имеют широкую систему RBAC для облачных инфраструктур, таких как AWS или Azure, они часто не учитывают различные уровни доступа, связанные с веб-приложениями.

PAM, разработанный для облака, позволяет точно контролировать, что пользователи могут видеть и делать на всех облачных платформах, включая базы данных и веб-приложения.

Best Practice #5. Не ставьте мониторинг на второй план

Хотя подавляющее большинство пользователей заслуживают доверия, лучше всего отслеживать и проверять их поведение, когда они получают доступ к конфиденциальной информации и привилегированным учетным записям. В рамках программы безопасности необходимо отслеживать сетевой трафик на предмет необычной активности, например, доступа в нерабочее время, удаленных подключений и других исходящих действий. Ищите признаки компрометации, временно блокируя исходящий интернет-трафик и отслеживая отток данных.

Даже если несколько бизнес- и технических функций используют различные типы облачных ресурсов, с помощью решения PAM корпоративного масштаба можно получить консолидированное представление о привилегированном доступе по всей организации.

Best Practice #6. Будьте предельно внимательны к третьим лицам

Не ограничивайте мониторинг и контроль за внутренними угрозами только сотрудниками. Вы можете взаимодействовать со сторонними поставщиками по-разному, например, как удаленный подрядчик, работающий над ограниченным по времени проектом, внедренный подрядчик или аутсорсинговое увеличение штата.

Безопасность поставщиков должна обеспечиваться как во время активной работы третьей стороны в вашей организации, так и после завершения сотрудничества. Решения по управлению привилегированным доступом поставщиков (VPAM) позволяют снизить риск, управлять привилегированным доступом и обеспечить аудиторский контроль для обеспечения подотчетности каждого.

Best Practice #7. Никогда не предоставляйте постоянный доступ

Многие компании сохраняют привилегии слишком долго, не обращают внимания на истечение срока действия паролей и учетных записей, а также не удаляют привилегии по окончании проектов или при увольнении сотрудников. Предоставление постоянного привилегированного доступа нарушает принцип наименьших привилегий и создает значительный риск.

Реализация доступа Just-In-Time в рамках управления привилегированным доступом (PAM) обеспечивает пользователям и системам облака соответствующий доступ, когда это необходимо и в течение минимально необходимого времени.

Инструменты Advanced PAM используют такие функции рабочего процесса, как «Запрос доступа», которые позволяют пользователям запрашивать доступ на определенный период времени. Кроме того, функции «Оформление заказа» могут менять учетные данные, как только заканчивается период оформления заказа, поэтому даже если срок действия учетных данных не истек, пользователь не сможет вернуться с теми же учетными данными.

Best Practice #8. Протестируйте свои системы

Следуя перечню лучших практик обеспечения безопасности в облаке, вы далеко продвинетесь, но без тестирования вы оставите без ответа важный вопрос: приносят ли результаты приложенные усилия? Протестируйте средства управления облачной безопасностью, чтобы понять, насколько хорошо они противостоят кибер-атаке. Многие компании привлекают “этичных хакеров” или «красные команды» для имитации целевых  атак. Такая практика позволяет выявить уязвимости безопасности до того, как они будут раскрыты преступным хакером или отмечены в ходе внешнего аудита.

И последнее, но не менее важное, Cloud Security Best Practice #9. Планируйте изменения

Последнее в контрольном списке, но не менее важное — предвидеть изменения. Среднее предприятие использует около двух тысяч облачных сервисов, в основном благодаря росту SaaS. Скорее всего, в вашей организации есть много новых SaaS или веб-приложений, которые выходят в интернет прямо сейчас.

Если вы работаете в среде DevOps, новые люди и системы постоянно получают доступ к вашему инстансу AWS или другим облачным платформам.

Периодическое сканирование на наличие и состояние привилегированных учетных записей не обеспечит вам необходимую видимость и контроль.

Практика показывает, что лучшим выбором является непрерывное сканирование для всех типов облачных учетных записей.  

Тогда вы всегда можете убедиться, что разрешения настроены должным образом и обеспечен соответствующий контроль.

Чтобы соответствовать ожидаемому росту числа привилегированных учетных записей, облачных приложений и пользователей, лучше всего использовать облачное решение PAM.  

Облачное PAM решение имеет возможность масштабироваться без замедления работы других ресурсов или потери контроля.

Вместе с этим, в организациях, где активно используются DevOps технологии, непрерывно создается, используется и выводится из эксплуатации широкий спектр облачных ресурсов — PAM автоматизирует и ускоряет создание, архивирование, извлечение и ротацию учетных данных.

 

По вопросам проведения индивидуальной демонстрации, пилотного тестирования решений Thycotic и организации партнерских тренингов обращайтесь, пожалуйста, к нашей команде в Вашей стране:

Украина, Грузия, Арменияfast@oberig-it.com, +38 099 427 94 04.

Казахстанinfo.kz@oberig-it.com, +7 775 395 0803.

Узбекистан, Кыргызстан, Таджикистан, Туркменистан info.uz@oberig-it.com, +99897 746 83 40.

Беларусь, Молдова, Румынияinfo.md@oberig-it.com, +373 686 76535.

Азербайджан info.az@oberig-it.com, +994 50 6826105.

 

Источник: https://thycotic.com/company/blog/2021/11/02/cloud-security-best-practices-checklist/