La Sfida della gestione delle Identità nel Cloud

Nel Cloud, con un concetto che oramai viene considerato come best practice minimale è quello che ogni entità, sia esso un essere umano od un servizio, debba avere solo i permessi che gli consentono di svolgere il proprio compito. Eppure la realtà è ben diversa e possiamo portare ad esempio anche lo studio più ampio fatto da Unit42 di Palo Alto Networks.

La gestione delle Identità nel Cloud sta diventando la sfida più complessa per le strutture di Cybersecurity mentre si moltiplicano gli attacchi che sfruttano tutti i casi di Overly Permissive Policies.

Come Aditinet abbiamo lanciato un servizio che, usando il nostro Tenant di Prisma Cloud, effettua Assesment sulla Postura di sicurezza delle infrastrutture IaaS dei nostri clienti segnalando tutti gli oggetti che non risultano compliant alle normative dei diversi mercati.

La sorpresa, od il finto stupore perché in fondo è quanto ci aspettavamo, è vedere quante delle casistiche di non compliancy siano legati a problematiche IaM.

blank

Al di la delle casistiche di mancata attivazione di meccanismi di MFA, aspetto ancora sottovalutato malgrado l’esperienza di Regione Lazio abbia dimostrato quanto la mancanza di questo meccanismo metta in pericolo l’intera infrastruttura considerato quanto le password sono facilmente violabili con meccanismi di Social Engineering, quello che più si nota è la tendenza a non applicare il Principio del Least Privileged.

Nel Cloud, con un concetto che oramai viene considerato come best practice minimale è quello che ogni entità, sia esso un essere umano od un servizio, debba avere solo i permessi che gli consentono di svolgere il proprio compito. Eppure la realtà è ben diversa e possiamo portare ad esempio anche lo studio più ampio fatto da Unit42 di Palo Alto Networks.

https://www.paloaltonetworks.com/prisma/unit42-cloud-threat-research-volume-six

Dallo studio emerge che il  62% delle permission non vengono utilizzate, chiaro indicatore del fatto che non avrebbero dovuto essere concesse, ed anzi, solo 1% di quelle analizzate  risulta aver applicato il principio del Least-Privileged Permission. Interessante notare come le Policy gestite dal CSP tendano a dare due volte e mezza più permission rispetto a policy create custom dall’utente e come queste policy siano il 43% su AWS ed addirittura un 81% su Azure. Se consideriamo che nelle Top5 most-used policy di AWS rientra quella di AdministratorAccess, ci si può rendere conto quanto il problema sia diffuso.

Il problema è intrinsecamente legato alla complessità di gestione che porta ad amplificare il fattore umano e la tendenza a scegliere la via più semplice, per questo diventa fondamentale l’adozione di uno strumento di CIEM in grado di calcolare le “net effective permissions, identificare le “risky permissions”, le “overly permissive policies” e le “ widely granted permissions” nonché identificare tutti gli oggetti a cui è stato dato  “public access”.

blank

La pericolosità degli attacchi via IAM è legata soprattutto alla possibilità di effettuare una escalation di privilege sfruttando una catena di permission apparentemente corrette, ma che alla fine portano a garantire agli attaccanti diritti di amministratore.

Questo articolo di Bishopfox  https://bishopfox.com/blog/privilege-escalation-in-aws merita una attenta lettura perché mostra una serie di casistiche in cui la mancata applicazione del Least Priviledge ad una serie di metodi IAM porta ad una concatenazione di azione che permettono all’attaccante di avere pieno accesso all’infrastruttura.

blank

Una considerazione ulteriore riguarda la protezione dei Git: sempre più frequentemente nei git pubblici si trovano, esposte al pubblico, credenziali, chiavi, informazioni sulle API: il caso del DataLeak di Toyota Europe di Settembre dove una exfiltration di 30K dati personali ha avuto facilitatore principale, secondo quanto riportato dai siti specializzati, la scoperta di un API-token valido all’interno di un Git pubblico di un programmatore. Diventa necessario adottare una politica di enforcement sull’uso dei git e sulla protezione degli accessi, adottando strumenti che consentano lo scan dei repository pubblici alla ricerca di oggetti che potrebbero facilitare l’accesso dall’esterno alle nostre infrastrutture ed ai nostri dati.

Per concludere, possiamo tornare allo studio di Unit42 e riportare le raccomandazioni, sembrano ovvietà, ma purtroppo il reality check dimostra come molto spesso queste non siano applicate.

blank
  1. Ridurre al minimo l’uso di credenziali di Admin, meno sono usate meno si rischia che siano compromesse
  2. Ridurre al minimo l’uso di “long-term credentials” come  user password, access key e  service-account key.
  3. Rendere mandatorio l’uso di  multi-factor authentication (MFA) per tutte le permissions che consentono di modificare risorse  business-critical  quali per esempio  database deletion, snapshot deletion e modifica delle chiavi di  encryption
  4. Implementare una politica che forza l’uso di  password strong.
  5. Concedere ad ogni identity esclusivamente le permissions necessarie per l’esecuzione del proprio compito, il cosiddetto principio di least-privilege più volte citato. Tutte le Identity devono essere oggetto di audit continui con tools di CIEM ( Cloud Infrastructure Entitlement Management )

Fonti ulteriori delle informazioni e dei disegni:

https://www.paloaltonetworks.com/blog/2020/02/cloud-iam-security/

https://www.paloaltonetworks.com/blog/prisma-cloud/iam-security-essential-cspm/

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on email
Share on print

Articoli correlati

IaC, Infrastructure AD Code, un' architettura di nuova generazione basata su Kubernetes: sul primo livello abbiamo i Template della infrastruttura, Terraform o CloudFormation od ARM che siano, uniti a quelli per le funzionalità Serverless. Sul secondo livello abbiamo gli Helm Chart che definiscono l’ambiente Run Time, e di conseguenza la sicurezza, della singola applicazione. A livello più alto i container sono poi il vero e proprio codice e che ad oggi sono già coperti con i classici strumenti di SAST e di VA.

Non sei ancora iscritto alla nostra newsletter?

Torna su