Svá cloudová prostředí musíte pravidelně kontrolovat, abyste odstranili staré a nepoužívané prostředky, protože mohou vytvářet bezpečnostní rizika. Jaký je ale správný způsob plnění tohoto úkolu? Čtěte dále a dozvíte se o pěti osvědčených postupech, které interně používáme k vyčištění našich cloudových účtů, a doufáme, že vám pomohou zlepšit vaši strategii zabezpečení cloudu.
Přehled
Na začátku nového roku je důležité zhodnotit všechna vaše cloudová prostředí a zjistit, kde můžete odstranit staré a nepoužívané prostředky. Zatímco vaše produkční účty mohou mít několik nevyužitých zdrojů a služeb, účty používané pro testování a vývoj produktů obvykle obsahují větší počet zdrojů různého stáří a stavu.
I když existují nástroje pro automatické mazání těchto zdrojů, tato řešení často svévolně odebírají zdroje, které jsou stále potřebné. Abyste tomu zabránili, je lepší použít řešení, které poskytuje komplexnější podrobnosti o tom, co je aktivní, co se nepoužívá a co možná budete muset vyloučit. Vaše organizace tak bude moci přijímat informovanější rozhodnutí.
Po spuštění programu Cloud Security použili Tenable Cloud Security ke kontrole cloudových účtů, zda neobsahují staré a nepoužívané zdroje. Na základě zkušeností identifikovali pět klíčových osvědčených postupů pro čištění cloudového prostředí a vytvořili proces k provedení tohoto úkolu. V tomto blogu sdílíme to, co se naučili, a doufáme, že to vaší organizaci pomůže dále vylepšit její strategii zabezpečení cloudu.
Důvod čištění účtu
Kontrola a vyčištění starých a nepoužívaných prostředků z cloudových účtů je důležité z několika důvodů.
Za prvé, mnoho zdrojů může generovat hodinové poplatky, ale ukončení jednoho zdroje nemusí zastavit všechny jeho náklady. Je to proto, že související zdroje mají často dodatečné náklady, které mohou ve vašem účtu přetrvávat.
Je také nezbytné sledovat všechny veřejně přístupné instance a virtuální počítače, které používají klíče Secure Shell (SSH) nebo které mají nastaveny místní přihlašovací údaje. Tyto prostředky mohou být uživatelům dostupné dlouho poté, co opustí vaši organizaci, což vede ke zvýšeným bezpečnostním rizikům.
Kromě toho kontrola dat v rámci veřejně přístupných segmentů Amazon S3, instancí Amazon RDS, segmentů úložiště GCP a účtů úložiště Azure může pomoci zabránit vystavení citlivých dat, jako jsou osobní identifikační údaje (PII), finanční záznamy a další citlivé informace.
Při čištění cloudových účtů je navíc důležitá i kontrola řízení přístupu. Kontrola stavu všech identit uživatelů a způsobu, jakým přistupují k vašemu účtu, může pomoci zlepšit zabezpečení účtu. Můžete mít aktivní a neaktivní uživatelské účty s přístupem a oprávněními ke zdrojům, které je třeba odebrat.
Níže vysvětlíme, jak tyto zdroje najít a proč je důležité je zkontrolovat, zda je možné smazat. Zdůrazňujeme také další bezpečnostní kontroly, které byste měli zvážit implementaci ve svém cloudovém prostředí. Tyto osvědčené postupy můžete použít selektivně nebo komplexně, bez ohledu na vaši cloudovou platformu nebo typy účtů, které je třeba zkontrolovat.
Úvaha 1: Stáří zdrojů
Chcete-li určit stáří svých zdrojů, nejprve vyberte účet v rozsahu a poté v části „Inventář“ konzole vyberte službu, kterou chcete zkontrolovat. Můžete zkontrolovat stávající počty zdrojů, abyste zjistili, zda potřebujete zaměřit své úsilí na vyčištění na konkrétní službu.
Tenable Cloud Security poskytuje několik možností, jak snadno zobrazit, kdy byl prostředek vytvořen. Pomocí sloupce „Vytvořeno“ můžete filtrovat výsledky od nejstarších po nejnovější, takže starší zdroje uvidíte v horní části seznamu.
Pokud chcete v konzole zobrazit zdroje vytvořené před více než 180 dny, vyberte filtr „Vytvořeno“ a poté pomocí možnosti „Před posledním“ vyberte kritéria filtrování.
Výsledky pomocí tohoto filtru by vám měly poskytnout představu o stáří vašich zdrojů a o tom, co může být potřeba odstranit. Doporučujeme také exportovat výsledky do souboru .csv, abyste získali úplný seznam zdrojů ve svém účtu, abyste si mohli prohlédnout všechny zdroje na první pohled, včetně těch, které neobsahují datum vytvoření.
Úvaha 2: Aktivní versus neaktivní
Cloudové účty budou obsahovat kombinaci aktivních i neaktivních zdrojů. Kontrola velikosti zdroje může naznačovat, zda se používá nebo ne. Tenable Cloud Security uvádí velikost datových zdrojů, jako jsou segmenty, databáze, clustery a snímky, takže můžete seznam zdrojů filtrovat pomocí tohoto prvku. Výsledky vám mohou ukázat zdroje s malým nebo žádným uložením dat. V závislosti na uvedeném datu „Poslední úpravy“ nebo „Vytvoření“ mohou být některé z těchto zdrojů vhodným kandidátem na smazání.
Chcete-li rychle najít neaktivní identity v konzole Tenable Cloud Security, vyberte štítek „Neaktivní“. Získáte seznam neaktivních identit, které mají nadměrně privilegovaná oprávnění, vyžadují střídání klíčů nebo mají nepoužívané přístupové klíče a hesla, která je třeba řešit.
Při kontrole ostatních služeb, zda jsou aktivní, je důležité si uvědomit, že ne všechny cloudové služby budou poskytovat podrobnosti o tom, kdy byl zdroj naposledy aktivní. Služba Amazon EC2 například podporuje filtr „Launch Time“, který označuje, kdy byla instance naposledy restartována. Jiné služby, jako je Amazon S3, však poskytují pouze datum „Vytvoření“. Služba S3 neposkytuje přímé informace o tom, kdy je bucket aktivně používán nebo kdy byl naposledy upraven.
Úvaha 3: Přístup k účtům
Při kontrole přístupu k účtům je důležité určit, jak k nim členové vašeho týmu přistupují, jaké prostředky jsou využívány a kdy byli naposledy aktivní. Pokud jste v Tenable Cloud Security nastavili integraci „poskytovatelů identity“, jako je například Okta, Microsoft Entra ID nebo Google Workspace, můžete zobrazit stav svých „uživatelů“, kdy se naposledy přihlásili a jak dlouho před tím byli aktivní.
Dalším důležitým aspektem, který je třeba zvážit, je způsob, jakým členové týmu přistupují k účtu. U účtů AWS vám níže uvedený seznam otázek může pomoci určit, kam je třeba zaměřit své úsilí.
- Pokud k přihlášení ke svému účtu používáte uživatele AWS Identity and Access Management (IAM), používají přístupové klíče, hesla nebo obojí?
- Pokud se k přihlášení k účtu používají role AWS IAM a jsou vyžadováni také uživatelé IAM, měla by být oprávnění omezena pouze pomocí přístupových klíčů?
- Existují nějaké neaktivní uživatelské účty IAM, které je třeba deaktivovat?
- Jsou nějací členové týmu s přístupem k aktivnímu uživatelskému účtu IAM, kteří nedávno opustili vaši společnost?
Z tohoto seznamu můžete určit, zda je nutné provést další kroky, jako je deaktivace identity, odebrání přístupu nebo aktualizace způsobu, jakým uživatelé přistupují k vašemu účtu. Nakonec možná budete muset zvážit implementaci dalších bezpečnostních kontrol, jako jsou organizační zásady nebo oprávnění IAM, abyste zabránili vytváření těchto zdrojů.
Úvaha 4: Veřejné zdroje
I když je důležité zkontrolovat všechny identity, je také důležité zkontrolovat, jaký typ veřejně přístupných zdrojů máte na svém účtu. Mnoho neprodukčních účtů často zahrnuje zdroje, jako jsou veřejné instance nebo veřejné segmenty. Tyto prostředky mohou umožňovat veřejný přístup ke známým portům, poskytovat veřejný přístup k webovým aplikacím a udělovat vzdálený přístup k těmto instancím. Je také důležité zkontrolovat, zda běží veřejné instance a virtuální počítače, které používají klíče SSH. Veřejné instance s klíči SSH mohou obsahovat místní uživatelské účty a přihlašovací údaje, které byly nastaveny, ale je třeba je zakázat.
Pokud si plánujete ponechat jakékoli veřejně přístupné zdroje, doporučujeme také zkontrolovat veřejné segmenty nebo účty úložiště, zda neobsahují citlivá data, která mohou být uložena. Pomocí funkce Ochrana dat Tenable Cloud Security můžete najít naskenované segmenty a spravované databáze obsahující citlivá data. V sekci „Data“ můžete vybrat filtr „Veřejné“ štítky a zobrazit zdroje s citlivými údaji uloženými na veřejně přístupných zdrojích.
Naskenované výsledky budou obsahovat konkrétní soubory nebo umístění v rámci zdroje ve sloupci Podrobnosti, které by měly být zkontrolovány.
Doporučujeme, abyste zkontrolovali všechny veřejné zdroje a data ve svém účtu, protože únik dat by mohl mít významný finanční dopad na vaši organizaci. Tyto výsledky lze také použít k určení, zda je třeba zlepšit postupy znejasňování dat a anonymizace.
Úvaha 5: Typy zdrojů a náklady
Ve vašem cloudovém účtu je důležité, abyste zkontrolovali, jaké typy prostředků jsou spuštěny, v jaké oblasti působí a k jakým datům se přistupuje.
Tenable Cloud Security vám umožňuje snadno filtrovat vaše zdroje podle „Region“, „Typu instance“ a „Třídy instance“. Spuštění instancí a virtuálních strojů generuje hodinové náklady a mohou se lišit v závislosti na velikosti prostředku a provozní oblasti. Tyto filtry můžete použít k nalezení variant instancí, velikosti rodiny instancí nebo konkrétních typů, které vám pomohou najít vysoce nákladné zdroje, které lze zmenšit nebo odstranit.
I když je vaše instance zastavena nebo ukončena, stále vám mohou vzniknout dodatečné náklady na související snímky, zálohy, úložiště a adresy IP. Abyste se vyhnuli dalším nákladům na cloud, doporučujeme smazat všechny přidružené zdroje, které se nepoužívají.
Pokud jde o úsilí o vyčištění, je zásadní vyhodnotit, zda je třeba implementovat další bezpečnostní kontroly. Volitelně můžete nastavit omezení zásad IAM pro konkrétní oblasti nebo povolit pouze určité typy instancí ve vašem účtu. Kromě toho lze pro komplexnější pokrytí použít také organizační zásady.
Další věci, které je třeba mít na paměti
Před zahájením jakéhokoli úsilí o vyčištění je důležité vzít v úvahu všechny zdroje, které je třeba vyloučit z budoucího mazání. Zdroje spravované prostřednictvím infrastruktury jako kód (IaC) jsou dobrým příkladem zdrojů, které mohou zůstat mimo rozsah. Chcete-li zjistit své zdroje spravované IaC, doporučujeme nastavit funkci zabezpečení IaC společnosti Tenable Cloud Security, která prohledá váš kanál IaC a zvýrazní, kde jsou vaše prostředky spravovány v kódu. Po naskenování byste měli vidět štítek „IaC“ aplikovaný na tento prostředek v konzole.
I když ve svém účtu nemáte prostředky spravované IaC, použití štítků poskytuje skvělou možnost, jak snadno identifikovat zdroje spravované konkrétním týmem, které musí zůstat mimo rozsah. Pokud máte zdroje s konzistentními páry klíčů a hodnot značek, doporučujeme pro tyto zdroje vytvořit automatické štítky. Tato funkce automaticky označí zdroje bez ohledu na to, zda je třeba je vyloučit.
Můžete také použít ruční štítky na zdroje, které nemusí mít konzistentní označování. U služeb, které nepodporují značky, můžete tuto možnost použít k určení, který tým spravuje prostředky, jako jsou role Azure nebo skupiny Okta.
Určete, co bude smazáno
Jakmile zjistíte, co máte, můžete zkontrolovat, jaké zdroje jsou v rozsahu pro odstranění. V konzole Tenable Cloud Security doporučujeme filtrovat účet a prostředky v rozsahu a exportovat tyto prostředky do souboru .csv. Tento krok poskytne seznam zdrojů shody bez ohledu na to, zda mají datum vytvoření nebo ne.
Pokud máte mnoho prostředků, které jsou v rozsahu pro odstranění, můžete volitelně provádět čištění ve fázích. Pokud v konzole zjistíte, že máte například mnoho instancí EC2 a funkcí Lambda, můžete tento seznam exportovat a zkontrolovat tyto prostředky v každé službě.
V případech, kdy mají všechny vaše zdroje uvedeno datum „Vytvořeno“, doporučujeme použít filtr „Vytvořeno“ ke zvýraznění zdrojů vytvořených před zadaným datem. Některé z níže uvedených příkladů poskytují různé možnosti filtru, které můžete použít k identifikaci zdrojů, které chcete smazat.
Název filtru | Hodnota filtru | Výsledky |
Vytvořeno | Před posledních 6 měsíců | Uvádí všechny zdroje vytvořené před více než 6 měsíci |
Vytvořeno | Před 1. lednem | Uvádí všechny zdroje vytvořené před 1. lednem |
Velikost | 0 B | Zahrnuje podporované zdroje s nulovými bajty nebo bez uložených dat |
Štítky | Veřejnost | Zahrnuje veřejně přístupné zdroje |
Štítky | IaC | Zahrnuje zdroje označené jako spravované v rámci IaC |
Štítky | Neaktivní | Uveďte všechny hlášení IAM / Identity jako neaktivní |
Typ instance | 16xvelký | Uvádí všechny typy instancí Amazon EC2 končící na *.16xlarge |
Při určování, zda je zdroj aktivní, mějte na paměti několik věcí. Ne všechny služby podporují filtry jako „Poslední úprava“, „Aktualizováno“, „Poslední přihlášení“ nebo „Poslední aktivita“, které zdůrazňují, kdy byl zdroj naposledy aktualizován nebo kdy byl uživatel naposledy aktivní.
Služby jako Amazon S3 nepodporují žádné informace o tom, zda je kbelík aktivně používán. V AWS mohou být k dispozici další možnosti pro určení tohoto stavu prostřednictvím protokolů a povolení přidružených služeb. Důrazně doporučujeme, abyste tyto informace sdělili členům týmu, aby mohli zkontrolovat a potvrdit, že nebylo smazáno nic důležitého.
A konečně, pokud zjistíte, že je třeba konsolidovat nebo zmenšit jakékoli uchované zdroje, můžete implementovat ovládací prvky zabezpečení k uchování dat po určitou dobu a poté je odstranit. Můžete také změnit velikost nebo zmenšit typ zdroje, abyste snížili náklady.
Komunikujte o úklidu
Než implementujete úsilí o vyčištění, je důležité sdělit tyto změny všem členům týmu. Doporučujeme sdílet níže uvedené podrobnosti s uživateli, kteří mají přístup k vašemu účtu. Tento seznam můžete také použít, pokud plánujete provádět budoucí čištění svého účtu, ať už náhodně, nebo podle plánu.
- Zahrnout účet(y) do rozsahu.
- Sdělte, proč jsou zdroje mazány.
- Uveďte datum, kdy budou zdroje smazány.
- Zahrňte do rozsahu služby a kritéria filtru. Příklady mohou zahrnovat:
- Všechny instance virtuálních strojů vytvořené před více než 90 dny
- Všechny databáze SQL větší než 500 GB
- Všechny zdroje bez data vytvoření
- Všechny prostředky, jejichž velikost je nula bajtů
- Všechny instance EC2 s *16xvelkými typy instancí
- Pokud je to možné, uveďte, co je mimo rozsah. Příklady mohou zahrnovat:
- Zdroje spravované prostřednictvím vašeho kanálu CI/CD s připojeným štítkem „IaC“.
- Pokud je to možné, uveďte důležité informace, které by si uživatelé měli přečíst nebo si je mohou vyžádat. Příklady mohou zahrnovat:
- Požádejte uživatele, aby zkontrolovali segmenty S3 a potvrdili aktivitu
- Poskytněte uživatelům možnosti zmenšit zdroje
- Vysvětlete, jak mohou uživatelé požádat o vyloučení
Pokud členové týmu již mají přístup ke kontrole těchto zdrojů v rámci Tenable Cloud Security, doporučujeme tyto informace zahrnout do vašeho úvodního e-mailu jako připomínku. Zjistili jsme, že pokud poskytnete přímý přístup k Tenable Cloud Security, týmy mohou být autonomnější při správě zdrojů v rámci svého účtu. Můžete také vytvořit sestavu inventáře, kterou lze poslat e-mailem členům týmu, kteří nemusí mít přístup.
Doporučujeme také upozornit členy týmu e-mailem alespoň 2-4 týdny předem před zahájením jakéhokoli čištění. Také odešlete poslední připomenutí alespoň týden předem, abyste uživatelům připomněli, že jakmile jsou zdroje smazány, nelze je obnovit.
Závěr
Chcete-li zachovat efektivní a bezpečné cloudové prostředí, je důležité provádět čištění čtvrtletně nebo dvakrát ročně v závislosti na počtu zdrojů ve vašem účtu. Začněte tím, že určíte, co a kdy plánujete odstranit, a zvažte řešení konkrétních cloudových služeb ve fázích. Navíc implementujte další bezpečnostní kontroly a omezte zdroje pouze na to, co je nezbytné. Pro více informací nás neváhejte kontaktovat.
Zdroj: Tenable