82% баз данных остались незашифрованными в публичном облаке

Средний срок службы облачного ресурса составляет 127 минут. Традиционные стратегии безопасности не успевают за такими темпами изменений, и 82% баз данных в общедоступных «облачных» средах остаются незашифрованными.

Эти выводы основаны на отчете команды RedLock Cloud Security Intelligence (CSI) «Тенденции безопасности облачной инфраструктуры». RedLock сегодня официально объявил о команде CSI и ее первом отчете, который фокусируется на основных уязвимостях в общедоступных облачных средах.

Команда проанализировала более миллиона облачных ресурсов, обработав 12 петабайт сетевого трафика, и нашла дефекты в общедоступной облачной инфраструктуре. Они обнаружили 4,8 миллиона записей, включая защищенную медицинскую информацию (PHI) и личную информацию (PII), которые были раскрыты, поскольку не обеспечивается соблюдение таких передовых методов, как шифрование и контроль доступа.

«Представьте себе день и возраст, в котором мы живем, — говорит соучредитель и генеральный директор RedLock Варун Бадхвар. «Вы должны использовать шифрование данных во время отдыха. Нет данных, недоступных для плохих субъектов, если они не обеспечены надлежащим образом».

Проблема заключается не в том, что облачные провайдеры не могут защитить центры обработки данных, а в том, что организации не могут защитить приложения, контент, системы, сети и пользователей, которые используют облачную инфраструктуру. «Именно там люди не знают или не инвестируют нужные ресурсы», — продолжает он.

Исследователи обнаружили, что из 82% баз данных, оставшихся незашифрованными в общедоступном облаке, 31% принимают входящие запросы на подключение из Интернета. Более половины (51%) сетевого трафика в общедоступном облаке по-прежнему находится на стандартном веб-порту (порт 80) для приема незашифрованного трафика. Почти все (93%) ресурсы общедоступного облака не имеют правила исходящего межсетевого экрана, говорит Бадхвар.

«Вам нужен контроль на сетевом, конфигурационном и пользовательском уровнях, чтобы трудно было кому-то попасть внутрь, а кому-то забрать данные», — подчеркивает Бадхвар, добавляя, как слабый сетевой контроль приводит к проблемам. Это все равно, что сказать: «Я оставлю свои ворота и входные двери открытыми, и надеюсь, что меня не ограбят», — говорит он.

Разработчикам и команде, выполняющей операции в облаке, нужен безопасный доступ, а исследователи обнаружили, что этого часто не происходит.

Бизнес переходит в облако из локальных сред, где все прошло проверку безопасности и процесс авторизации, прежде чем было запущено в производство, продолжает Бадхвар. Два часа и 27 минут, средняя продолжительность жизни облачного ресурса, это гораздо меньшее окно.

«За это время заказчик понятия не имеет, как получить обеспечительное право, потому что разработчики продвигают код», — говорит Бадхвар. «Ни один из существующих инструментов безопасности не работает со скоростью изменений. Клиенты не имеют никакого представления об изменениях, вызванных переходом на производство.»

Он называет современную облачную среду «миром, ориентированным на устройства», в котором те, кто пишет код, отвечают за то, чтобы вывести его на рынок. Проблема заключается в том, что те, кто вносит изменения в «облачные» среды, не являются обученными специалистами по безопасности.

Нехватка у них опыта создает дополнительный риск, особенно при использовании новых технологий, таких как контейнеры. Исследователи RedLock обнаружили 285 информационных панелей Kubernetes (веб-интерфейсов администратора), установленных в облачных средах Google Cloud, Microsoft Azure и AWS, которые не были защищены паролем. Было много случаев, когда системы Kubernetes имели учетные данные в открытом тексте для доступа к другим критически важным системам, что делало уязвимостью ключевую инфраструктуру.

Рекомендации по безопасности, содержащиеся в отчете, включают обучение разработчиков методам обеспечения безопасности общедоступной облачной инфраструктуры, настройку служб на прием интернет-трафика по мере необходимости, а также настройку стандартной политики «отказать во всем» исходящем трафике межсетевого экрана. Вы также должны автоматически обнаруживать базы данных и ресурсы хранения данных по мере их создания в общедоступном облаке и контролировать сетевой трафик, чтобы убедиться, что эти ресурсы не взаимодействуют напрямую с интернет-услугами.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *