با تحول دیجیتال حرکت به سمت استفاده از فضای ابری صورت میگیرد. چیزی که بسیاری از مشاغل متوجه آن نیستند این است که نیاز به تغییر مجدد استراتژی امنیتی آنها نیز از همان ابتدا وجود دارد. به طور خاص، افزایش تعداد هویت غیر مجاز در فضای ابری خطری است که مشاغل به راحتی نمیتوانند آن را نادیده بگیرند. در حقیقت، اکثر مشاغل حتی برای مقابله با هویتهای غیر مجاز برنامه ریزی هم نمیکنند، چه برسد به اینکه امنیت آنها را تأمین کنند، و این جایی است که یک سازمان میتواند به مشکلات قابل توجهی دچار شود. با این حال، خبر خوب این است که سازمانها میتوانند با انجام اقدامات لازم از محیط ابری خود محافظت کنند.
هویت غیر مجاز چیست؟
هویتهای غیر مجاز هویتهایی هستند که به نیابت از یک شخص عمل (مثل روبات) میکنند. آنها میتوانند قطعهای از کد، مانند توابع AWS Lambda، یا قطعهای از محاسبات، مانند Azure VMs یا سایر سرویسهای ابری عمومی باشند. صرف نظر از نحوه تعریفشان، آنها بسیار مفید هستند و اغلب نمایانگر اکثر قریب به اتفاق هویتهای موجود در استقرار ابر هستند. با این حال، آنها چالشهای منحصر به فردی را سبب میشوند که به خاطر سپردن آنها بسیار مهم است.
چرا باید نگران حفاظت از تمام هویتها، مجاز و غیرمجاز باشیم؟
قبل از تحول دیجیتال، شبکه محیط امنیتی را برای محیط های داخلی تشکیل می داد. اکنون دیگر اینگونه نیست. در فضای ابر، هویت های مجاز و غیر مجاز محیط امنیتی را تشکیل می دهند و به همین ترتیب، باید به طور موثر مدیریت شوند.
بررسی چالش ها
اولین چالش پیچیدگی است. حتی برای سازمانهایی که در فضای ابر به وجود آمدهاند، تلاش برای درک این هویتها میتواند گیج کننده و طاقت فرسا باشد. این امر معمولاً منجر به تنظیمات نادرست در ابر میشود که برخی از آنها کاملاً حیاتی هستند.برای یک موقعیت معمول ابر این گونه رایج است که صدها، اگر نه هزاران یا بیشتر از آنها، هویت غیر مجاز داشته باشد. از منظر مدیریت و نظارت، این یک چالش نسبتاً دشوار ایجاد میکند و در صورت عدم کنترل میتواند مشکلات زیادی را از جمله عدم رعایت حداقل امتیاز / یا الزام تقسیم وظایف و همچنین تأیید بر اینکه چه چیزی، کجا و چگونه میتواند کل محیط ابر را دست کاری کند سبب شود.
سرانجام، از منظر امنیتی، ماهیت نحوه استفاده از هویت ها تعیین سلسله حوادث را برای اینکه چه کسی چه کاری انجام داده دشوار می کند.
برای برخی، این یک روش عالی برای پوشاندن هویت خود و ادغام شدن در محیط ابر است. به همین دلیل، به هر شکلی که به آنها نگاه کنید، هویتهای غیر مجاز میتوانند اشکال مختلفی داشته باشند که هم میتوانند بسیار قدرتمند باشند و هم در ابرهای عمومی خطرات قابل توجهی ایجاد کنند. نفوذ به دادهها برای یک کسب و کار مضر است، اما بدتر این است که زمانی میشد به راحتی از آنها جلوگیری کرد. درس مهمی که باید آموخت این است که امنیت خوب ناشی از عملیات خوب است. با تمام نقدهای مطرح در چند سال گذشته، جای تعجب است که چگونه این درس ساده نادیده گرفته میشود. هنگام تجزیه و تحلیل این نقدها و همچنین کمک به مشتریان در هر ابعادی در فضای ابری آنها، اشتباهات ثابت و قابل پیشگیری وجود دارد که ناگهان در مورد هویتهای غیر مجاز ظاهر میشود.
بیشتر بخوانید: امنیت داده چند ابری (Multi-Cloud)
سه اشتباه رایج در برخورد با هویت غیر مجاز در فضای ابری
اولین اشتباه رایج اجازه دادن به هویتهای بیش از حد آزاد است، جایی که، عملکرد و مجوزهای زیادی را به خودی خود دارند و همچنین مجوزهای بیشتری را هنگام استفاده در ابرها به دست میآورند. چگونه این اتفاق می افتد؟ به دلایلی که در بالا توضیح داده شد، این هویتها و کاربرد آنها میتواند بسیار پیچیده شود، خیلی سریع و در نتیجه، عموماً ممکن است سبب ایجاد تنظیمات نادرست شود.
دلیل نگران کننده تر این است که این هویت ها غالباً، به طور عمد از امتیازات بیشتری برخوردار هستند. چرا؟ این در واقع سناریوی معمولی هنگام کار برای ایجاد یک هویت قفل شده است که می تواند فقط آنچه را که قرار است انجام دهد، انجام دهد. با این حال، اگر موردی نقض شود این ممکن است دشوار باشد و اکنون کسب و کار تحت تأثیر قرار می گیرد. خیلی اوقات به تیم های DevOps گفته می شود اکنون این کار را انجام دهید و برگردید و بعداً آن را برطرف کنید.
به نوبه خود، این افراد آنچه را که از آنها خواسته شده است انجام میدهند و به آن هویت امتیاز زیادی میدهند، و بحران مدیریت میشود. زندگی به حالت عادی برمی گردد و تیم DevOps به وظیفه بعدی میپردازد.
این منجر به اشتباه رایج بعدی می شود،
چیزی که آن را هویتهای گمشده مینامیم. اینها هویتهایی هستند که یا ایجاد و یا اصلاح شده و سپس فراموش شدهاند. آنها فقط در آنجا در محیط ابر قرار دارند، هنوز هم وجود دارند اما هیچ کاری برای انجام دادن ندارند. این تا زمانی است که کسی آن را پیدا کند و تصمیم به استفاده از آن بگیرد، و منجر به اشتباه بعدی شود.
سومین اشتباه رایج این است که این هویتها غالباً برای اهداف ناخواسته استفاده میشوند … یا بهتر است بگوییم این کار باعث کارکرد آن مورد شد، بنابراین من از آن برای این مورد نیز استفاده خواهم کرد. گرچه درست، اگرچه جواب داد، اما به چه قیمتی؟ آیا فقط دسترسی کامل به دادههای حساس را فراهم کرده است؟ آیا اصلاً می دانید که این دسترسی را دارد؟ آیا کسی میداند که این دسترسی را دارد؟ پاسخ به دو سؤال اخیر معمولاً نه است.
حتی از آن بدتر این است که یک حساب غیر مجاز یکی دیگر را پیدا کند و از آن برای اهداف خود استفاده کند. و این بهترین راه برای پنهان کردن خرابکاری است! بنابراین، اگر امنیت خوب مبتنی بر عملیات خوب است، پس بیایید از این اشتباهات رایج درس بگیریم تا اطمینان حاصل کنیم که هویتهای غیر مجاز شما (روباتها) در کل چرخه زندگیشان به طور مناسب تأمین و مدیریت میشوند.
هشدار! چیزی به نام راه حل راحت وجود ندارد …
مهم نیست که بعضی از مردم چه می گویند. حقیقت این است که برای مدیریت و ایمن سازی مؤثر فضای ابری شما به تلاش زیاد نیاز است. با این وجود، بهترین روشها در Identity و Data Governance وجود دارد که باید برای کمک به مدیریت آن کار دنبال شود. در حالی که برخی ممکن است بگویند من از بهترین اقدامات متنفرم، مهم است که به یاد داشته باشید قدرت در شرایط موجود است. بهترین روشها برای هدایت شما در مسیر درست وجود دارد و در صورت استفاده در شرایط کسب و کار شما، میتواند بسیار قدرتمند باشد.
بهترین روش ها برای تأمین امنیت در برابر هویت غیر مجاز در فضای ابری
اولین و بهترین روش، ضرورت شناسایی تمام هویتهای غیر مجاز است که به طور واقعی در محیط ابر وجود دارد – نه آنچه تیم مدیریت شما میگوید باید باشد، نه آنچه تیم حسابرسی شما در صفحات گسترده خود بررسی کرده است، بلکه آنچه در واقع وجود دارد. در مرحله بعدی، شما باید بدانید و درک کنید که مجوزهای مؤثر هر یک از آنها چیست.
این بدان معناست که شما باید دقیقا بدانید هر هویتی چه در داخل و چه در میان فضای ابر چه کاری می تواند انجام دهد. باز هم، این چیزی نیست که تیم های شما فکر می کنند می توانند انجام دهند، بلکه آن چیزی است که در واقعیت قادر به انجام آن هستند. مهم است که با اطمینان کامل بدانید که آیا این هویت ها اقدامات ناخواسته ای انجام داده اند.
بسیار مهم است که درک کنیم این هویتها به چه دادههایی در داخل فضای ابر میتوانند دسترسی پیدا کنند. دقیقاً مانند مثال قبلی، آگاهی از اینکه چه کاری برای این دادهها انجام شده است، مهم است. علاوه بر این، با توجه به سرعت حرکت اوضاع در ابر و تعداد بی شماری از تیمها که در آن فعالیت و نقش دارند، باید همیشه این آگاهی را داشته باشید. فقط در این مرحله، شما واقعاً میتوانید توانایی مدیریت هویتهای غیر مجاز و امنیت هر محیط ابر را تأیید کنید.
هویتهای غیرانسانی هم عملکرد بسیار قدرتمندی را نشان میدهند و هم بیانگر وجود خطر پیچیدهای در فضای ابر عمومی میباشند و بنابراین نیاز به توجه مداوم دارند. با مدیریت کارآمد هویتهای غیر مجاز، که بخشی از مرز جدید امنیت فضای ابر را تشکیل میدهند، نه تنها مدل امنیت اطلاعات تقویت میشود، بلکه سازمانها را قادر میسازد تا بتوانند با سرعت ابر حرکت کنند.