Článek přečtěte do 10 min.

Svá cloudová prostředí musíte pravidelně kontrolovat, abyste odstranili staré a nepoužívané prostředky, protože mohou vytvářet bezpečnostní rizika. Jaký je ale správný způsob plnění tohoto úkolu? Čtěte dále a dozvíte se o pěti osvědčených postupech, které interně používáme k vyčištění našich cloudových účtů, a doufáme, že vám pomohou zlepšit vaši strategii zabezpečení cloudu.

Přehled

Na začátku nového roku je důležité zhodnotit všechna vaše cloudová prostředí a zjistit, kde můžete odstranit staré a nepoužívané prostředky. Zatímco vaše produkční účty mohou mít několik nevyužitých zdrojů a služeb, účty používané pro testování a vývoj produktů obvykle obsahují větší počet zdrojů různého stáří a stavu.

I když existují nástroje pro automatické mazání těchto zdrojů, tato řešení často svévolně odebírají zdroje, které jsou stále potřebné. Abyste tomu zabránili, je lepší použít řešení, které poskytuje komplexnější podrobnosti o tom, co je aktivní, co se nepoužívá a co možná budete muset vyloučit. Vaše organizace tak bude moci přijímat informovanější rozhodnutí.

Po spuštění programu Cloud Security použili Tenable Cloud Security ke kontrole cloudových účtů, zda neobsahují staré a nepoužívané zdroje. Na základě  zkušeností identifikovali pět klíčových osvědčených postupů pro čištění cloudového prostředí a vytvořili proces k provedení tohoto úkolu. V tomto blogu sdílíme to, co se naučili, a doufáme, že to vaší organizaci pomůže dále vylepšit její strategii zabezpečení cloudu.

Důvod čištění účtu

Kontrola a vyčištění starých a nepoužívaných prostředků z cloudových účtů je důležité z několika důvodů.

Za prvé, mnoho zdrojů může generovat hodinové poplatky, ale ukončení jednoho zdroje nemusí zastavit všechny jeho náklady. Je to proto, že související zdroje mají často dodatečné náklady, které mohou ve vašem účtu přetrvávat.

Je také nezbytné sledovat všechny veřejně přístupné instance a virtuální počítače, které používají klíče Secure Shell (SSH) nebo které mají nastaveny místní přihlašovací údaje. Tyto prostředky mohou být uživatelům dostupné dlouho poté, co opustí vaši organizaci, což vede ke zvýšeným bezpečnostním rizikům.

Kromě toho kontrola dat v rámci veřejně přístupných segmentů Amazon S3, instancí Amazon RDS, segmentů úložiště GCP a účtů úložiště Azure může pomoci zabránit vystavení citlivých dat, jako jsou osobní identifikační údaje (PII), finanční záznamy a další citlivé informace.

Při čištění cloudových účtů je navíc důležitá i kontrola řízení přístupu. Kontrola stavu všech identit uživatelů a způsobu, jakým přistupují k vašemu účtu, může pomoci zlepšit zabezpečení účtu. Můžete mít aktivní a neaktivní uživatelské účty s přístupem a oprávněními ke zdrojům, které je třeba odebrat.

Níže vysvětlíme, jak tyto zdroje najít a proč je důležité je zkontrolovat, zda je možné smazat. Zdůrazňujeme také další bezpečnostní kontroly, které byste měli zvážit implementaci ve svém cloudovém prostředí. Tyto osvědčené postupy můžete použít selektivně nebo komplexně, bez ohledu na vaši cloudovou platformu nebo typy účtů, které je třeba zkontrolovat.

Úvaha 1: Stáří zdrojů

Chcete-li určit stáří svých zdrojů, nejprve vyberte účet v rozsahu a poté v části „Inventář“ konzole vyberte službu, kterou chcete zkontrolovat. Můžete zkontrolovat stávající počty zdrojů, abyste zjistili, zda potřebujete zaměřit své úsilí na vyčištění na konkrétní službu.

Seznam zobrazující počty výpočetních prostředků AWS

Tenable Cloud Security poskytuje několik možností, jak snadno zobrazit, kdy byl prostředek vytvořen. Pomocí sloupce „Vytvořeno“ můžete filtrovat výsledky od nejstarších po nejnovější, takže starší zdroje uvidíte v horní části seznamu.

Snímek obrazovky v rámci Tenable Cloud Security ukazující, jak můžete přidat filtr, odebrat sloupec a seřadit data prostředků

Pokud chcete v konzole zobrazit zdroje vytvořené před více než 180 dny, vyberte filtr „Vytvořeno“ a poté pomocí možnosti „Před posledním“ vyberte kritéria filtrování.

Snímek obrazovky v rámci Tenable Cloud Security ukazuje, jak filtrovat zdroje vytvořené před posledních 180 dnů

Výsledky pomocí tohoto filtru by vám měly poskytnout představu o stáří vašich zdrojů a o tom, co může být potřeba odstranit. Doporučujeme také exportovat výsledky do souboru .csv, abyste získali úplný seznam zdrojů ve svém účtu, abyste si mohli prohlédnout všechny zdroje na první pohled, včetně těch, které neobsahují datum vytvoření.

Úvaha 2: Aktivní versus neaktivní

Cloudové účty budou obsahovat kombinaci aktivních i neaktivních zdrojů. Kontrola velikosti zdroje může naznačovat, zda se používá nebo ne. Tenable Cloud Security uvádí velikost datových zdrojů, jako jsou segmenty, databáze, clustery a snímky, takže můžete seznam zdrojů filtrovat pomocí tohoto prvku. Výsledky vám mohou ukázat zdroje s malým nebo žádným uložením dat. V závislosti na uvedeném datu „Poslední úpravy“ nebo „Vytvoření“ mohou být některé z těchto zdrojů vhodným kandidátem na smazání.

Snímek obrazovky v rámci Tenable Cloud Security zobrazující seznam zdrojů včetně doby jejich vytvoření, přístupu, poslední úpravy, velikosti a počtu objektů

Chcete-li rychle najít neaktivní identity v konzole Tenable Cloud Security, vyberte štítek „Neaktivní“. Získáte seznam neaktivních identit, které mají nadměrně privilegovaná oprávnění, vyžadují střídání klíčů nebo mají nepoužívané přístupové klíče a hesla, která je třeba řešit.

Snímek obrazovky v rámci Tenable Cloud Security ukazující otevřená zjištění, včetně seznamu zásad zabezpečení IAM

Při kontrole ostatních služeb, zda jsou aktivní, je důležité si uvědomit, že ne všechny cloudové služby budou poskytovat podrobnosti o tom, kdy byl zdroj naposledy aktivní. Služba Amazon EC2 například podporuje filtr „Launch Time“, který označuje, kdy byla instance naposledy restartována. Jiné služby, jako je Amazon S3, však poskytují pouze datum „Vytvoření“. Služba S3 neposkytuje přímé informace o tom, kdy je bucket aktivně používán nebo kdy byl naposledy upraven.

Úvaha 3: Přístup k účtům

Při kontrole přístupu k účtům je důležité určit, jak k nim členové vašeho týmu přistupují, jaké prostředky jsou využívány a kdy byli naposledy aktivní. Pokud jste v Tenable Cloud Security nastavili integraci „poskytovatelů identity“, jako je například Okta, Microsoft Entra ID nebo Google Workspace, můžete zobrazit stav svých „uživatelů“, kdy se naposledy přihlásili a jak dlouho před tím byli aktivní.

Snímek obrazovky v rámci Tenable Cloud Security zobrazující podrobnosti správy přístupu k identitě

Dalším důležitým aspektem, který je třeba zvážit, je způsob, jakým členové týmu přistupují k účtu. U účtů AWS vám níže uvedený seznam otázek může pomoci určit, kam je třeba zaměřit své úsilí.

  1. Pokud k přihlášení ke svému účtu používáte uživatele AWS Identity and Access Management (IAM), používají přístupové klíče, hesla nebo obojí?
  2. Pokud se k přihlášení k účtu používají role AWS IAM a jsou vyžadováni také uživatelé IAM, měla by být oprávnění omezena pouze pomocí přístupových klíčů?
  3. Existují nějaké neaktivní uživatelské účty IAM, které je třeba deaktivovat?
  4. Jsou nějací členové týmu s přístupem k aktivnímu uživatelskému účtu IAM, kteří nedávno opustili vaši společnost?

Z tohoto seznamu můžete určit, zda je nutné provést další kroky, jako je deaktivace identity, odebrání přístupu nebo aktualizace způsobu, jakým uživatelé přistupují k vašemu účtu. Nakonec možná budete muset zvážit implementaci dalších bezpečnostních kontrol, jako jsou organizační zásady nebo oprávnění IAM, abyste zabránili vytváření těchto zdrojů.

Úvaha 4: Veřejné zdroje

I když je důležité zkontrolovat všechny identity, je také důležité zkontrolovat, jaký typ veřejně přístupných zdrojů máte na svém účtu. Mnoho neprodukčních účtů často zahrnuje zdroje, jako jsou veřejné instance nebo veřejné segmenty. Tyto prostředky mohou umožňovat veřejný přístup ke známým portům, poskytovat veřejný přístup k webovým aplikacím a udělovat vzdálený přístup k těmto instancím. Je také důležité zkontrolovat, zda běží veřejné instance a virtuální počítače, které používají klíče SSH. Veřejné instance s klíči SSH mohou obsahovat místní uživatelské účty a přihlašovací údaje, které byly nastaveny, ale je třeba je zakázat.

Snímek obrazovky v rámci Tenable Cloud Security zobrazující místní uživatelské účty a přihlašovací údaje

Pokud si plánujete ponechat jakékoli veřejně přístupné zdroje, doporučujeme také zkontrolovat veřejné segmenty nebo účty úložiště, zda neobsahují citlivá data, která mohou být uložena. Pomocí funkce Ochrana dat Tenable Cloud Security můžete najít naskenované segmenty a spravované databáze obsahující citlivá data. V sekci „Data“ můžete vybrat filtr „Veřejné“ štítky a zobrazit zdroje s citlivými údaji uloženými na veřejně přístupných zdrojích.

Snímek obrazovky v rámci Tenable Cloud Security zobrazující inventář dat

Naskenované výsledky budou obsahovat konkrétní soubory nebo umístění v rámci zdroje ve sloupci Podrobnosti, které by měly být zkontrolovány.

Snímek obrazovky v rámci Tenable Cloud Security zobrazující přehled dat

Doporučujeme, abyste zkontrolovali všechny veřejné zdroje a data ve svém účtu, protože únik dat by mohl mít významný finanční dopad na vaši organizaci. Tyto výsledky lze také použít k určení, zda je třeba zlepšit postupy znejasňování dat a anonymizace.

Úvaha 5: Typy zdrojů a náklady

Ve vašem cloudovém účtu je důležité, abyste zkontrolovali, jaké typy prostředků jsou spuštěny, v jaké oblasti působí a k jakým datům se přistupuje.

Tenable Cloud Security vám umožňuje snadno filtrovat vaše zdroje podle „Region“, „Typu instance“ a „Třídy instance“. Spuštění instancí a virtuálních strojů generuje hodinové náklady a mohou se lišit v závislosti na velikosti prostředku a provozní oblasti. Tyto filtry můžete použít k nalezení variant instancí, velikosti rodiny instancí nebo konkrétních typů, které vám pomohou najít vysoce nákladné zdroje, které lze zmenšit nebo odstranit.

Snímek obrazovky v rámci Tenable Cloud Security ukazující, jak filtrovat zdroje podle různých typů instancí

I když je vaše instance zastavena nebo ukončena, stále vám mohou vzniknout dodatečné náklady na související snímky, zálohy, úložiště a adresy IP. Abyste se vyhnuli dalším nákladům na cloud, doporučujeme smazat všechny přidružené zdroje, které se nepoužívají.

Pokud jde o úsilí o vyčištění, je zásadní vyhodnotit, zda je třeba implementovat další bezpečnostní kontroly. Volitelně můžete nastavit omezení zásad IAM pro konkrétní oblasti nebo povolit pouze určité typy instancí ve vašem účtu. Kromě toho lze pro komplexnější pokrytí použít také organizační zásady.

Další věci, které je třeba mít na paměti

Před zahájením jakéhokoli úsilí o vyčištění je důležité vzít v úvahu všechny zdroje, které je třeba vyloučit z budoucího mazání. Zdroje spravované prostřednictvím infrastruktury jako kód (IaC) jsou dobrým příkladem zdrojů, které mohou zůstat mimo rozsah. Chcete-li zjistit své zdroje spravované IaC, doporučujeme nastavit funkci zabezpečení IaC společnosti Tenable Cloud Security, která prohledá váš kanál IaC a zvýrazní, kde jsou vaše prostředky spravovány v kódu. Po naskenování byste měli vidět štítek „IaC“ aplikovaný na tento prostředek v konzole.

Snímek obrazovky v rámci Tenable Cloud Security zobrazující zdroje spravované v kódu

I když ve svém účtu nemáte prostředky spravované IaC, použití štítků poskytuje skvělou možnost, jak snadno identifikovat zdroje spravované konkrétním týmem, které musí zůstat mimo rozsah. Pokud máte zdroje s konzistentními páry klíčů a hodnot značek, doporučujeme pro tyto zdroje vytvořit automatické štítky. Tato funkce automaticky označí zdroje bez ohledu na to, zda je třeba je vyloučit.

Můžete také použít ruční štítky na zdroje, které nemusí mít konzistentní označování. U služeb, které nepodporují značky, můžete tuto možnost použít k určení, který tým spravuje prostředky, jako jsou role Azure nebo skupiny Okta.

Určete, co bude smazáno

Jakmile zjistíte, co máte, můžete zkontrolovat, jaké zdroje jsou v rozsahu pro odstranění. V konzole Tenable Cloud Security doporučujeme filtrovat účet a prostředky v rozsahu a exportovat tyto prostředky do souboru .csv. Tento krok poskytne seznam zdrojů shody bez ohledu na to, zda mají datum vytvoření nebo ne.

Pokud máte mnoho prostředků, které jsou v rozsahu pro odstranění, můžete volitelně provádět čištění ve fázích. Pokud v konzole zjistíte, že máte například mnoho instancí EC2 a funkcí Lambda, můžete tento seznam exportovat a zkontrolovat tyto prostředky v každé službě.

V případech, kdy mají všechny vaše zdroje uvedeno datum „Vytvořeno“, doporučujeme použít filtr „Vytvořeno“ ke zvýraznění zdrojů vytvořených před zadaným datem. Některé z níže uvedených příkladů poskytují různé možnosti filtru, které můžete použít k identifikaci zdrojů, které chcete smazat.

Název filtru Hodnota filtru Výsledky
Vytvořeno Před posledních 6 měsíců  Uvádí všechny zdroje vytvořené před více než 6 měsíci
Vytvořeno Před 1. lednem  Uvádí všechny zdroje vytvořené před 1. lednem
Velikost 0 B Zahrnuje podporované zdroje s nulovými bajty nebo bez uložených dat
Štítky Veřejnost Zahrnuje veřejně přístupné zdroje
Štítky  IaC  Zahrnuje zdroje označené jako spravované v rámci IaC 
Štítky  Neaktivní Uveďte všechny hlášení IAM / Identity jako neaktivní
Typ instance 16xvelký Uvádí všechny typy instancí Amazon EC2 končící na *.16xlarge

Při určování, zda je zdroj aktivní, mějte na paměti několik věcí. Ne všechny služby podporují filtry jako „Poslední úprava“, „Aktualizováno“,Poslední přihlášení“ nebo „Poslední aktivita“, které zdůrazňují, kdy byl zdroj naposledy aktualizován nebo kdy byl uživatel naposledy aktivní.

Služby jako Amazon S3 nepodporují žádné informace o tom, zda je kbelík aktivně používán. V AWS mohou být k dispozici další možnosti pro určení tohoto stavu prostřednictvím protokolů a povolení přidružených služeb. Důrazně doporučujeme, abyste tyto informace sdělili členům týmu, aby mohli zkontrolovat a potvrdit, že nebylo smazáno nic důležitého.

A konečně, pokud zjistíte, že je třeba konsolidovat nebo zmenšit jakékoli uchované zdroje, můžete implementovat ovládací prvky zabezpečení k uchování dat po určitou dobu a poté je odstranit. Můžete také změnit velikost nebo zmenšit typ zdroje, abyste snížili náklady.

Komunikujte o úklidu

Než implementujete úsilí o vyčištění, je důležité sdělit tyto změny všem členům týmu. Doporučujeme sdílet níže uvedené podrobnosti s uživateli, kteří mají přístup k vašemu účtu. Tento seznam můžete také použít, pokud plánujete provádět budoucí čištění svého účtu, ať už náhodně, nebo podle plánu.

  1. Zahrnout účet(y) do rozsahu.
  2. Sdělte, proč jsou zdroje mazány.
  3. Uveďte datum, kdy budou zdroje smazány.
  4. Zahrňte do rozsahu služby a kritéria filtru. Příklady mohou zahrnovat:
    • Všechny instance virtuálních strojů vytvořené před více než 90 dny
    • Všechny databáze SQL větší než 500 GB
    • Všechny zdroje bez data vytvoření
    • Všechny prostředky, jejichž velikost je nula bajtů
    • Všechny instance EC2 s *16xvelkými typy instancí
  5. Pokud je to možné, uveďte, co je mimo rozsah. Příklady mohou zahrnovat:
    • Zdroje spravované prostřednictvím vašeho kanálu CI/CD s připojeným štítkem „IaC“.
  6. Pokud je to možné, uveďte důležité informace, které by si uživatelé měli přečíst nebo si je mohou vyžádat. Příklady mohou zahrnovat:
    • Požádejte uživatele, aby zkontrolovali segmenty S3 a potvrdili aktivitu
    • Poskytněte uživatelům možnosti zmenšit zdroje
    • Vysvětlete, jak mohou uživatelé požádat o vyloučení

Pokud členové týmu již mají přístup ke kontrole těchto zdrojů v rámci Tenable Cloud Security, doporučujeme tyto informace zahrnout do vašeho úvodního e-mailu jako připomínku. Zjistili jsme, že pokud poskytnete přímý přístup k Tenable Cloud Security, týmy mohou být autonomnější při správě zdrojů v rámci svého účtu. Můžete také vytvořit sestavu inventáře, kterou lze poslat e-mailem členům týmu, kteří nemusí mít přístup.

Doporučujeme také upozornit členy týmu e-mailem alespoň 2-4 týdny předem před zahájením jakéhokoli čištění. Také odešlete poslední připomenutí alespoň týden předem, abyste uživatelům připomněli, že jakmile jsou zdroje smazány, nelze je obnovit.

Závěr

Chcete-li zachovat efektivní a bezpečné cloudové prostředí, je důležité provádět čištění čtvrtletně nebo dvakrát ročně v závislosti na počtu zdrojů ve vašem účtu. Začněte tím, že určíte, co a kdy plánujete odstranit, a zvažte řešení konkrétních cloudových služeb ve fázích. Navíc implementujte další bezpečnostní kontroly a omezte zdroje pouze na to, co je nezbytné. Pro více informací nás neváhejte kontaktovat.

Zdroj: Tenable