В этой статье мы хотим выделить особенности организации облачной безопасности и рассказать, как продукты CSPM помогают автоматизировать процесс безопасности в рамках методологии DevSecOps. Мы также расскажем вам о продукте собственной разработки, который просто решает эту проблему.
Contents
Подход со сдвигом влево в DevSecOps
В поисках скорости DevOps для предоставления пользователям новых выпусков продуктов компании столкнулись с проблемами управления безопасностью. Выяснилось, что помимо доставки кода необходимо также обеспечить безопасность продукта, не снижая при этом скорость и гибкость разработки и предоставления новых функций. Казалось бы, можно взять и всесторонне протестировать уже готовый продукт на соответствие требованиям безопасности, но загвоздка в том, что если какие-либо проблемы будут выявлены на этом этапе, то все предыдущие этапы выпуска продукта должны будут пройти конвейер снова, что значительно увеличит затраты на разработку. Таким образом, чем раньше будет выявлена уязвимость, тем дешевле обойдется ее устранение. Это называется подходом Shift-Left к безопасности.
Для обеспечения безопасности на каждом этапе разработки применяется методология DevSecOps. Этот подход предполагает использование различных методов и инструментов безопасности практически на каждом этапе конвейера доставки.
Безопасный дизайн. На этом этапе необходимо продумать архитектуру компонентов приложения по важным моментам, связанным с безопасностью:
-
выбор среды выполнения кода, включая платформы, серверы приложений, операционные системы. Ведь при выборе небезопасной среды вывод из приложения в Prod может быть заблокирован;
-
определение компонентов приложения, безопасных протоколов и интерфейсов взаимодействия между ними: разработка методов, протоколов и интерфейсов взаимодействия с внешними и внутренними сервисами.
Безопасная разработка:
-
руководства по разработке, включающие рекомендации по предотвращению уязвимостей в коде, а также шаблоны безопасного проектирования;
-
разработка кода для безопасного развертывания инфраструктуры (например, Terraform);
-
статический анализ кода (SAST);
-
Поиск уязвимостей в используемых библиотеках (в частности Open Source) и внешних зависимостях.
Безопасное развертывание. На этом этапе проверяются:
-
уязвимости в исполняемой среде приложения, а также виртуальных машинах, операционных системах;
-
динамический анализ приложений (DAST);
-
тестирование на проникновение (PenTesting).
Безопасный Эскорт. Это, пожалуй, самый сложный шаг в мониторинге безопасности, так как вам нужно не только проверить, как приложение будет безопасно развернуто и настроено, но и обеспечить его защиту 24/7 от возможных атак и уязвимостей, а также от небезопасной конфигурации. изменения.
Основные задачи этого шага:
-
обеспечить безопасность сети;
-
постоянный мониторинг и управление уязвимостями;
-
управление пользователями, правами и доступом;
-
отслеживать аномальное поведение пользователя для обнаружения атаки;
-
отслеживать и анализировать события журнала аудита безопасности.
DevSecOps в облаке
Описанные выше подходы также применимы к облачным приложениям и инфраструктуре. Основными преимуществами облаков являются гибкость и доступность практически любого масштабируемого сервиса, поэтому управлять безопасностью в облаке можно с помощью готовых продуктов и подключаемых инструментов. Они значительно упрощают и автоматизируют безопасность на последнем этапе, когда приложение или продукт развернуты и уже работают в облачной инфраструктуре. Облачные среды, как правило, сложны и многоуровневы, что затрудняет выявление и устранение всех потенциальных угроз безопасности.
При развертывании ресурсов и сервисов в облаке существует множество вариантов и вариантов конфигурации. Конфигурации управления идентификацией и доступом (IAM) определяют, кто может просматривать, изменять и запускать облачные ресурсы и службы. Параметры сети определяют, с какими другими ресурсами может взаимодействовать служба. Конфигурации управляемых служб, такие как параметры среды, определенные в образах контейнеров, или политики управления доступом на основе ролей (RBAC) в Kubernetes, добавляют еще больше уровней и переменных в конфигурацию облачной инфраструктуры.
С таким количеством различных вариантов конфигурации легко сделать ошибку, которая ослабит общую безопасность облачной среды. Сотрудник компании может создать политику IAM, позволяющую любому другому сотруднику изменять экземпляр виртуальной машины, или администратор может непреднамеренно установить сетевые параметры, открывающие конфиденциальные данные непосредственно из корзины S3 любому пользователю в Интернете.
Как по доступной цене контролировать безопасность облачной инфраструктуры. Что такое ЦСПМ?
Продукты Cloud Security Posture Management (CSPM) позволяют контролировать безопасность и создавать бесшовную облачную конфигурацию. CSPM — это упреждающий подход к защите инфраструктуры любого размера.
Как правило, неправильная конфигурация облачной среды является одной из наиболее распространенных причин, которая может привести к утечке данных. Таким образом, использование инструмента CSPM может сократить количество инцидентов безопасности в облаке из-за неправильных конфигураций как минимум на 80 %.
Как работает CSPM и какие задачи он автоматизирует
Большинство CSPM автоматически анализируют конфигурации в облаке, а затем оценивают параметры безопасности по большому набору правил, которые обычно сгруппированы в стандарты. Инструменты CSPM могут делать это постоянно, отслеживая конфигурации в режиме реального времени и обнаруживая риски по мере их возникновения.
Кроме того, многие CSPM предоставляют возможность устранять инциденты безопасности, выявленные в результате анализа, и позволяют автоматически исправлять ошибки.
Большинство платформ CSPM поставляются со встроенными политиками, но некоторые из них имеют возможность настраивать их в соответствии с конкретными потребностями компании.
Инструменты CSPM также могут визуализировать риски и векторы атак, интегрироваться в процесс разработки, выявлять проблемы безопасности на ранней стадии, до развертывания ресурсов в облаке.
CSPM на российском рынке
На международном рынке большой выбор CSPM-провайдеров, но российские облака они не поддерживают. Нынешняя тенденция облачной безопасности на нашем рынке отстает от западной, но достаточно быстро набирает обороты. Это связано с тем, что использование самих облаков в последнее время стало тенденцией в сегменте Enterprise.
В последнее время стал доступен отечественный продукт NeoCAT (инструмент оценки облака Neoflex)разработан «Неофлекс» в партнерстве с Яндекс Облаком.
NeoCAT позволяет выявлять, расставлять приоритеты и устранять риски безопасности в облачной инфраструктуре до того, как они будут реализованы злоумышленником. Инструмент отображает информацию о конфигурации облака и безопасности ресурсов в удобных для чтения информационных панелях:
Безопасно ли использовать инструменты безопасности?
NeoCAT не требует установки агентов или другого программного обеспечения на изучаемые ресурсы, а также не оказывает на них никакого влияния с точки зрения производительности. Продукт развернут внутри облачного периметра пользователя и не передает данные наружу. Также не требует выдачи расширенных прав: достаточно просто привязать сервисный аккаунт к приложению с правами на чтение конфигурации облачных ресурсов.
Если доступ к ресурсам не нужен, то как их анализировать?
Проверка и анализ рисков безопасности выполняются через Cloud API облачного провайдера. Продукт сканирует конфигурацию облачных ресурсов и сервисов по заданным правилам и условиям. В настоящее время поддерживается более 400 уникальных проверок.
Затем выявленные риски приоритизируются, формируется отчет, включающий подробные рекомендации и описание возможных векторов атак по каждому из рисков.
В настоящее время CSPM NeoCAT может работать в Яндекс Облаке. Вскоре он также будет доступен для безопасности и других облаков.
Как развернуть NeoCAT
Продукт устанавливается за считанные минуты в облаке пользователя из Облачная торговая площадка Яндекса. Не требует расширенных прав или установки дополнительного ПО, нужна только учетная запись облачного сервиса с правами на чтение конфигурации ресурса. Продукт поставляется с подробным руководством пользователя и бесплатной поддержкой пользователей.
Заключение
Сосредоточиться на облачной безопасности или нет — решать каждому, но независимо от размера бизнеса важно учитывать, что при наличии таких недорогих и эффективных, чем CSPM, инструментов управление рисками облачной инфраструктуры стало возможным без траты времени и средств. Ресурсы. Более того, их использование поможет предотвратить инциденты безопасности, которые могут привести к огромным финансовым и репутационным потерям.
Ссылка на наш оригинальная статья в ЦИСОКЛУБ.
