Por que as permissões por “função” são tão perigosas para seu ambiente de nuvem

0
204

This post is also available in: Inglês Francês Alemão Italiano Espanhol Russo

Um dos principais desafios enfrentados pelas organizações que operam na nuvem é como controlar o excesso de permissões. Operar na nuvem pública envolve agilidade e flexibilidade. Ainda assim, o problema é que, muitas vezes, os benefícios têm um custo para a segurança, levando a uma proliferação de permissões desnecessárias e excessivas na nuvem.

Este webinar tem como objetivo discutir a questão do excesso de permissões na nuvem e como controlá-las.

Mover para a nuvem altera os limites das ameaças

O problema principal com o qual as organizações precisam lidar é que a mudança para a nuvem altera os limites das ameaças.

No “velho mundo” do data center físico local, os recursos de rede e os administradores estavam localizados no mesmo local físico ou na mesma rede. Nesses ambientes, eles eram protegidos contra ameaças físicas, e a proteção focava em defesas de perímetro (como firewall, gateway seguro da web, WAF, etc.) contra ameaças externas. Os administradores tinham controle total sobre seus recursos e, na pior das hipóteses, se detectassem um problema, poderiam ir até lá desconectar o servidor, eliminando o problema.

O mundo da nuvem pública é muito diferente. As cargas de trabalho hospedadas na nuvem pública agora são remotas. O acesso total é feito por meio de conexão remota, usando mecanismos e APIs fornecidos pelo provedor de hospedagem em nuvem pública. Os administradores não têm mais controle físico sobre seus recursos e todo o acesso a seus recursos é feito remotamente. No entanto, hackers, agentes mal-intencionados e terceiros não autorizados podem acessar esses mesmos recursos usando os mesmos protocolos padronizados, APIs e métodos de acesso.

Portanto, a segurança da carga de trabalho é definida por quem tem acesso e qual acesso tem. Na verdade, isso significa que suas permissões são iguais à sua superfície de ameaça.

Une image contenant texte, périphérique, mètre, jauge

Description générée automatiquement

A necessidade de velocidade leva ao excesso de permissões

Operar na nuvem pública envolve agilidade e flexibilidade. A velocidade e a conveniência de usar a nuvem permitem novos recursos, expandindo a capacidade dinamicamente, implantando novos códigos e agilizando a comercialização.

Há vários motivos principais pelos quais o excesso de permissões é um problema tão grande na nuvem:

  1. Os requisitos da empresa impulsionam a atividade na nuvem.. A transformação digital está relacionada a um lançamento mais rápido no mercado, e a nuvem pública é um facilitador para isso. Operar na nuvem envolve agilidade e flexibilidade e, na perspectiva de TI, é onde “a mágica acontece” na transformação digital. O problema é que, em nome da conveniência, os gerentes de TI geralmente se concentram mais em mudar rapidamente e não conseguem proteger adequadamente seus ambientes de nuvem, deixando suas cargas de trabalho e dados de clientes vulneráveis à exposição e às violações de dados.
  2. Os usuários normalmente não sabem de quais permissões precisarão.. Eles sabem o que querem que seja feito, mas talvez não tenham ideia de todos os pequenos passos que os levam até lá. Assim, eles solicitam muito mais permissões do que precisam. Consequentemente, isso propaga um precedente perigoso em que as organizações concedem às credenciais muito mais privilégios do que deveriam permitir, aumentando o potencial de expor as aplicações, configurações em torno de ambientes construídos e suas defesas de segurança.
  3. Os administradores de nuvem não querem atrapalhar as atividades. Essa tendência humana faz com que os administradores façam uma distribuição “rápida” de permissões.
  4. Conceder permissões na nuvem é fácil. Essa é uma questão importante, pois explica por que as permissões da nuvem podem ser distribuídas com tanta facilidade. As operações na nuvem são geralmente automatizadas ou baseadas em scripts, o que prioriza a velocidade e a facilidade de uso. Assim, é muito fácil distribuir permissões, os administradores normalmente não se preocupam muito com isso.

[Gostou desta publicação? Inscreva-se agora para receber o conteúdo mais recente da Radware na sua caixa de entrada, toda semana, além de acesso exclusivo ao conteúdo premium da Radware.]

Embora os motivos exatos possam variar entre as organizações, todos eles levam ao mesmo lugar. Muitas permissões estão sendo concedidas sem necessidade. Quando tantas permissões estão sendo emitidas, uma porcentagem delas pode ser potencialmente mal utilizada, levando a violações em grande escala. Algumas das principais causas de exposição de dados são a concessão excessiva de permissões, privilégios não utilizados e não controlados, o que pode levar a vulnerabilidades massivas de segurança.

O papel das “funções” nas permissões excessivas

Um dos tipos de permissão que provou ser uma preocupação em especial são as permissões por “função”. Ao contrário das permissões tradicionais por “usuário” e “grupo”, que geralmente são associadas a usuários físicos reais (ou grupos de usuários), as permissões por “função” são permissões mais flexíveis que podem ser atribuídas dinamicamente a um usuário, aplicações ou serviços. Na verdade, de acordo com a própria pesquisa da Radware, cerca de 80% das permissões em excesso observadas no ambiente de nuvem são permissões por “função”.

Ao contrário das permissões por usuário, que normalmente são associadas a uma única pessoa, as permissões por função devem ser assumidas ad-hoc por qualquer pessoa (ou qualquer coisa) que precise delas para aquela sessão específica. As permissões por função de contas na nuvem permitem delegar acesso a usuários e serviços para recursos de nuvem aos quais eles normalmente não teriam acesso.

Embora isso proporcione uma grande flexibilidade, também cria um desafio de segurança de permissões muito flexíveis, que podem ser assumidas por uma ampla variedade de pessoas e serviços. A fluidez dessas funções e a variedade de casos de uso em que são usadas frequentemente levam à proliferação de acessos em que não há necessidade comercial.

[Você também pode se interessar por: Como uma organização recorreu à Radware para bloquear sua nuvem pública]

Controlando o excesso de permissões

Recentemente, a Radware fez parceria com a AWS em um webinar para discutir como funciona o Gerenciamento de Identidades e Acesso (identity and access management, IAM) e como protegê-lo contra o uso indevido acidental e mal-intencionado. O webinar também inclui um depoimento da Perion Network, um dos clientes de nuvem de longa data da Radware, sobre como a Radware ajudou a fortalecer seu acesso à nuvem e bloquear sua postura de segurança na nuvem.

Clique aqui para assistir ao webinar conjunto da Radware e da AWS.

AWS and Radware Webinar

LEAVE A REPLY

Please enter your comment!
Please enter your name here