Mentre oggi la migrazione cloud è diventata una consuetudine, la gestione delle identità – in particolare l’allocazione dei privilegi – è ancora l’elefante nella stanza. In alcune organizzazioni, il cloud assume forme anche complesse, infrastrutturalmente, ma la gestione degli accessi resta carente, è rimasta ai livelli di base. È importante evolvere, anche da questo punto di vista: la maggior parte dei modelli di privilegi attualmente implementati, sono troppo permissivi.
Bisognerebbe estendere al Cloud il principio del minimo privilegio (PoLP), una pietra miliare della gestione dell’identità e dell’accesso (IAM) in loco. Aiuterebbe a mantenere la sicurezza, e a garantire che utenti e dispositivi abbiano accesso solo alle risorse necessarie per il proprio lavoro.
Fortunatamente, per risolvere questo problema, esistono una serie di pratiche di PoLP nel cloud da implementare e gestire in modo semplice e agile.
Criteri di accesso al cloud: controllo e gestione
Il problema principale è la facilità con cui è possibile sfruttare le caratteristiche del cloud, per assegnare i privilegi. Per molti anni, i team di security hanno cercato di mettere dei limiti, soprattutto quando venivano assegnati ai server e alle applicazioni in loco, di default. È vero che è più semplice lavorare quando si hanno gli accessi privilegiati, da utente root o da amministratore, ma non è certo molto sicuro fornirli a tutti, senza fare distinzioni.
Purtroppo questo accade spesso, anche con il cloud, privato e pubblico. I team di DevOps e di cloud engineering, infatti, spesso implementano infrastrutture che “funzionano”, ma hanno criteri di identità e accesso troppo permissivi.
Per contrastare il privilege creep nel cloud, e altri possibili rischi per la sicurezza legati all’accesso, i team di sicurezza potrebbero
implementare le seguenti azioni:
- Monitorare i servizi cloud che monitorano. Attivare e monitorare tutti i servizi di sicurezza cloud-native che monitorano i criteri IAM del cloud e forniscono avvisi e indicazioni sulla riduzione dei privilegi. Ci sono, per esempio, AWS IAM Access Analyzer, Google Cloud Policy Analyzer per AM e l’analisi dei criteri di controllo degli accessi basata sui ruoli in Azure Policy. Questi servizi forniscono informazioni e report sui livelli di privilegio attuali: dove sono allocati e come potrebbero essere ridotti per migliorare la sicurezza
- Utilizzare la gestione della postura di sicurezza nel cloud (CSPM). Considerate un servizio CSPM che si integri con i cloud IaaS e PaaS utilizzati dall’organizzazione e che effettui una scansione continua dei problemi di configurazione e delle vulnerabilità, criteri IAM in primis
- Proteggere il SaaS con un CSPM, un SaaS security posture management (SSPM) o un cloud access security broker (CASB). Per i cloud SaaS, utilizzate un CSPM, un SSPM o un CASB che possano aiutarvi a identificare eventuali vulnerabilità nelle modalità di assegnazione dei privilegi
- Valutare le piattaforme di analisi della sicurezza del cloud. Considerate una piattaforma di analisi della sicurezza del cloud dedicata e incentrata sull’identità. Potrebbe non rientrare, tecnicamente, nelle categorie CSPM o SSPM. La loro funzione chiave è la possibilità di analizzare l’intero insieme di policy interconnesse definite e implementate in un ambiente cloud.
Privileged identity management tool, anche con un cloud provider
I principali cloud provider offrono quasi sempre strumenti di gestione dei privilegi. Spesso sono anche facili da implementare, e strettamente integrati con i loro servizi principali. Azure AD Privileged Identity Management, per esempio, offre un accesso just-in-time per gli amministratori, con limiti di tempo per le sessioni, approvazione del manager (se desiderata), registrazione e auditing granulari, avvisi automatici e report di revisione degli accessi per gli amministratori. Nel mondo cloud, si trovano stack simili, basati su PoLP, anche presso altri grandi fornitori.
L’accesso al cloud, con privilegi da amministratore, deve includere quanto segue:
- Accesso a breve termine, un accesso condizionato just-in-time che tenga conto di posizione, endpoint e comportamento dell’utente. L’autenticazione granulare garantisce che solo gli amministratori validi accedano all’ambiente cloud.
- Autenticazione a più fattori (MFA), flessibile e integrata con opzioni di gestione degli accessi, come il single sign-on.
- Estensione della registrazione e del monitoraggio per tutti gli accessi dell’amministratore attraverso motori con log-in nativo, come AWS CloudTrail, Azure Monitor o Google Cloud Logging.
L’MFA, e altre limitazioni all’accesso privilegiato, possono ostacolare i team DevOps e di progettazione, che puntano su workflow sempre più automatizzati. In questi casi, la soluzione più sensata è una secrets management platform, che assegni privilegi in tempo reale e li implementi.
Per le pipeline, sia on-premise che basate su cloud, sono disponibili molti servizi integrati con API per l’assegnazione, la revoca e il monitoraggio automatizzati dei privilegi per le varie attività. Qualsiasi modifica alle policy definite all’interno di queste piattaforme, dovrebbe richiedere l’MFA o altre restrizioni di accesso, come l’accesso basato sulla posizione.