In cloud-omgevingen circuleren zoveel identiteiten voor gebruikers, machines en applicaties dat het nauwelijks te beheren is. Veel van de identiteiten zijn onbewust geconfigureerd met veel meer rechten dan noodzakelijk. Met als resultaat toegang tot systemen die onnodig is. De eerste stap in een zero-trust-benadering van cloudsecurity is het toepassen van het 'minste-privilege-principe'.
Met identity en access management (iam)-tools zijn toegangsrechten te verdelen op basis van rollen of groepen, maar toch krijgen veel accounts uitvoerige privileges mee. Dit vormt een grote uitdaging voor bedrijven die zero trust frameworks doorvoeren. Elke identiteit die toegang vraagt tot bedrijfsresources moet daarbij immers geverifieerd worden en de toegang moet op een slimme manier gelimiteerd worden.
Uit een recent onderzoek van ESG bleek dat accounts met (te) veel rechten de meest geziene misconfiguratie in cloudservices is. Dat is ook anderen opgevallen: misbruik van overvloedige privileges is de populairste aanvalstactiek bij cloud-applicaties. Hierdoor zijn ‘misbruikers’ in staat om zonder op te vallen, bij workloads te komen of deze rechten op te schalen tot het niveau dat hele cloud-toepassingen offline zijn te halen.
Om dit tegen te gaan, moet least privilege worden toegepast, waarbij alle identiteiten een minimum aan benodigde rechten krijgen. Het is een cruciaal element in zero trust en transities naar de cloud. Least privilege verkleint ook de mogelijkheid voor iemand om rechten toe te kennen, zodat een aanvaller niet zomaar rechten voor zichzelf kan uitbreiden.
Vier redenen voor least privilege in de cloud
- Datadiefstal is vaak gekoppeld aan cloud-identiteiten
Bedrijven gaan naar de cloud en aanvallers gaan mee. Hoewel aanvallers zich richten op nieuwe omgevingen, houden ze vast aan beproefde tactieken. In het rapport ‘2020 Verizon Data Breach Incident’ staat dat identiteiten de zwakste schakel blijven: in meer dan driekwart van de succesvolle aanvallen stond diefstal van de accountgegevens aan de basis.
Een least privilege-model biedt meer bescherming. Een gestolen identiteit kan in zo’n geval niet direct allerlei zaken in gang zetten buiten de rechten om. Hierdoor wordt de bewegingsvrijheid van aanvaller aanzienlijk kleiner, waardoor kostbare tijd wordt gewonnen om de aanval te detecteren en te stoppen.
- Meer cloud-gebruik zorgt voor meer aanvalsplekken
Meer cloud-services, meer identiteiten, meer risico. Verschillende aspecten van cloud-omgevingen maken goede configuratie van privileges lastiger. Om ontwikkelaars niet in de weg te zitten, worden iam-rollen voor sommige services soms bewust breed geconfigureerd. Veel bedrijven vergeten ook achterhaalde rechten te verwijderen, zoals toegang voor ontwikkelaars na het beëindigen van een project. In beide gevallen levert het gevaar op en mogelijkheden voor aanvallers om ongezien verder te komen in een netwerk. Het doorvoeren én continu valideren van least privilege is een cruciale stap in het verkleinen van de ‘attack surface’.
- Misconfiguraties groeien met het aantal cloud-services mee
De drie grote IaaS-platformen (AWS, Azure en Google Cloud Platform) introduceren voortdurend nieuwe services. Het maakt hen onderling onderscheidend, en het ondersteunt de innovatiedrang van gebruikers met allerhande tools. Uiteraard hangt daar een prijskaartje aan. Niet alleen de kosten, maar ook de risico’s doordat een misconfiguratie bij zoveel en zo rap veranderende cloudservices snel gemaakt is. Volgens onderzoek van IBM ligt aan twintig procent van de datadiefstallen een cloud-misconfiguratie ten grondslag.
Least privilege kan dergelijke misconfiguraties identificeren door te kijken naar rechten, onnodige toegang te blokkeren en daarmee risico’s te verkleinen, terwijl noodzakelijke toegang tot workloads gewoon mogelijk blijft.
- Least privilege wordt als uitgangspunt gezien door cloud-providers en brancheverenigingen
AWS, Azure en GCP herkennen de gevaren van identiteiten met te veel rechten en de uitdagingen services in grote cloud-omgevingen veilig te configureren. Ze formuleren daarom least privilege allemaal als best practice. Consortia als de Cloud Security Alliance’s Cloud Control Matrix benadrukken ook het belang van continue controle van toegangsrechten. Organisaties onderhevig aan strenge wetgeving kunnen zelfs boetes krijgen als least privilege niet is doorgevoerd.
Least privilege heeft dus nut, maar mag niet ten koste gaan van de productiviteit van gebruikers of it-teams. Er moet balans worden gevonden in effectief beheer van rechten en doorvoeren van beveiliging aan de ene kant, en operationele behoeften aan de andere.
Het deurbeleid bij uitbesteding is min of meer een vertrouwen in de portier waarvan je antecedenten niet kent. De auteur gaat zoals velen weer eens voorbij aan het personele aspect, de meeste sportclubs hebben middels de VoG een betere screening voor het deurbeleid dan menige cloudprovider.