Claranet wijst op automatisering en volledig geaccrediteerde partners als een middel om kwetsbaarheden in cloudbeveiliging te voorkomen.
Een gebrek aan kennis en te veel vertrouwen in handmatige changeprocessen leidt ertoe dat veel bedrijven de beveiliging van hun cloudimplementaties in gevaar brengen, waarschuwt Claranet, wereldwijd leverancier van IT-diensten.
De waarschuwing volgt op de publicatie van een rapport dat McAfee afgelopen week publiceerde, waaruit bleek dat de gemiddelde organisatie gebruik maakt van zo’n 14 onjuist geconfigureerde IaaS-instances, waardoor ze geconfronteerd worden met ruim 2200 configuratiefoutgerateerde incidenten per maand. Bovendien schatten onderzoekers dat 5,5% van de AWS S3-buckets gebruik maakt van ‘world read’-toestemming, wat betekent dat ze publiekelijk toegankelijk zijn.
Steve Smith, Senior Site Reliability Engineer en AWS-Teamleader bij Claranet, geeft commentaar op die bevindingen:
De cloudbeveiligingsuitdagingen die in dit rapport worden genoemd, hebben weinig te maken met het platform zelf, maar hebben alles te maken met de mensen die het gebruiken, en in onze ervaring zijn mensen hier de zwakste schakel. De grote cloudleveranciers zoals AWS hebben veel ‘verstandige’ standaarden ingesteld om de configuratie te ondersteunen. Zo zijn S3-buckets bijvoorbeeld standaard privé, maar helaas is het erg makkelijk om dingen fout te doen als je niet weet hoe je het platform moet gebruiken."
We hebben veel AWS-configuraties gezien die eindgebruikers zelf hebben ontworpen of waarbij ze hebben samengewerkt met partners die niet over de juiste ervaring beschikken, en eerlijk gezegd, deze configuraties hebben de meest bizarre instellingen. Wanneer interne IT-teams deze omgevingen zelf creëren, kunnen er fouten optreden wanneer ze niet over de juiste kennis of ervaring beschikken. Een klik op een knop of een kleine wijziging van de configuratie kan een enorme invloed hebben op de beveiliging, dus het is belangrijk om het toegangsbeleid goed te volgen en voorzorgsmaatregelen te treffen om fouten uit de configuratie te halen vóórdat ze in de productieomgeving terechtkomen."
Het ontwikkelen van ‘infrastructuur als code’, effectieve, template-scripts die de infrastructuur kan creëren in elke publieke cloud-omgeving, helpt hier omdat die het moeilijker maakt om fouten te maken. Alle wijzigingen in de code moeten gecontroleerd zijn door een andere expert in de ontwikkelingslevenscyclus. Hierdoor is het veel minder waarschijnlijk dat fouten de productieomgeving bereiken en zorgt dat er voor eventuele wijzigingen kunnen worden bijgehouden en gecontroleerd. Daarnaast is het ook een goede gewoonte om die code vanaf een gecentraliseerde locatie uit te voeren, bijvoorbeeld een soort CICD-server, zodat alleen die machine configuraties kan maken en er geen mogelijkheid is om handmatig wijzigingen aan te brengen."
Steve concludeert dat het Well-Architected Framework van AWS, een programma dat is ontworpen om AWS-gebruikers te helpen bij het bouwen van de meest veilige, goed presterende, flexibele en efficiënte infrastructuur voor hun applicaties, een belangrijk hulpmiddel is waarmee gebruikers gemoedsrust kunnen vinden bij hun cloudimplementaties:
AWS heeft een soort beoordelingsprogramma opgezet, het AWS Well-Architected Framework, om problemen te helpen oplossen en gebruikers de zekerheid te bieden dat alles veilig is geconfigureerd, zoals het hoort. Gekwalificeerde AWS-partners kunnen hiermee uitgebreide evaluaties van bestaande AWS-architecturen uitvoeren, dingen zoals toegangsbeleid en veranderingsprocessen controleren en advies geven over de beste manier om de veiligheid te waarborgen."