Blog/03
Security

Zero-trust w chmurze: od teorii do pierwszego wdrożenia

6 min czytania

Czym jest CSPM, jak audyt IAM zmniejsza powierzchnię ataku i dlaczego bezpieczeństwo musi być wbudowane od dnia pierwszego.

Większość wycieków danych w chmurze nie wynika z zaawansowanych ataków. Wynika z prostych błędów konfiguracyjnych: publicznego bucketa S3, uprawnień IAM ustawionych "na wszelki wypadek" zbyt szeroko, klucza API ukrytego w repozytorium git lub braku MFA na koncie root. Zero-trust to filozofia, która zaczyna od założenia: domyślnie nie ufamy nikomu i niczemu - w środku sieci ani poza nią.

Czym jest zero-trust i co oznacza w praktyce

Zero-trust zastępuje zasadę "ufam, bo jesteś w sieci" modelem "weryfikuję każde żądanie, każdego użytkownika, każdą usługę - zawsze". W praktyce przekłada się to na cztery obszary:

  1. Tożsamość i uprawnienia (IAM): każdy człowiek i każda usługa ma minimalne uprawnienia niezbędne do swojej funkcji
  2. Uwierzytelnianie: MFA wszędzie gdzie możliwe, klucze API rotowane automatycznie, brak stałych poświadczeń
  3. Segmentacja sieci: zasoby podzielone na warstwy - publiczne, prywatne, izolowane - z ruchem kontrolowanym przez security groups i NACLs
  4. Ciągły monitoring: logi z CloudTrail, GuardDuty, wykrywanie anomalii

IAM - gdzie zaczyna się 80% problemów

Typowe problemy, które widzimy w audytach:

  • Użytkownicy lub role z uprawnieniami *:* - pełny dostęp do wszystkiego
  • Klucze dostępu przypisane do kont użytkowników zamiast do ról (i nigdy nierotowane)
  • Brak MFA na kontach z uprawnieniami administracyjnymi
  • Konto root AWS używane do codziennej pracy
  • Role między kontami z nadmiarowym zaufaniem (cross-account trust)
  • Zapomniane konta byłych pracowników z aktywnymi uprawnieniami
Statystyka IAM Audit
~40%

użytkowników IAM w typowym środowisku AWS ma więcej uprawnień niż faktycznie potrzebuje. Najszybsza droga do redukcji powierzchni ataku - bez wydatków na dodatkowe narzędzia.

CSPM - automatyczny skaner konfiguracji

Cloud Security Posture Management (CSPM) to kategoria narzędzi, które automatycznie skanują konfigurację środowiska chmurowego. AWS ma własne (Security Hub + AWS Config), Azure ma Defender for Cloud, GCP ma Security Command Center.

CSPM wykrywa m.in.:

  • Publiczne buckety S3 z danymi wrażliwymi
  • Security groups z otwartymi portami SSH/RDP na świat (0.0.0.0/0)
  • Brak szyfrowania danych at rest i in transit
  • Niezaktualizowane obrazy kontenerów z krytycznymi podatnościami
  • Konfiguracje niezgodne z benchmarkami CIS, NIST, ISO 27001
🔍

Najczęstsze znalezisko w Cloud Checku: otwarte porty SSH lub RDP dostępne z internetu bez ograniczenia IP. Trwa 5 minut, żeby to zamknąć - a każdego dnia to okno na atak.

Pierwsze kroki - co można zrobić dziś

  1. Włącz MFA na koncie root AWS (i usuń wszystkie klucze dostępu przypisane do roota)
  2. Uruchom AWS Trusted Advisor - bezpłatna wersja obejmuje 7 podstawowych kontroli, w tym uprawnienia do bucketów S3, otwarte porty w security groups oraz stan MFA na koncie root
  3. Przejrzyj security groups w EC2: czy port 22 (SSH) jest otwarty na 0.0.0.0/0?
  4. Sprawdź, czy CloudTrail jest włączony - to logi z każdego API call
  5. Przejrzyj nieaktywnych użytkowników IAM - usuń tych, którzy nie logowali się od 90+ dni

Kiedy warto zlecić audyt bezpieczeństwa: gdy masz dane wrażliwe w chmurze, planujesz certyfikację ISO/SOC2, masz regulacje branżowe (fintech, medtech, GDPR) lub po prostu nie wiesz, co jest w Twoim środowisku.

Chcesz wiedzieć, jakie luki są w Twojej infrastrukturze?

Cloud Check obejmuje przegląd konfiguracji bezpieczeństwa. Bezpłatnie, bez dostępów.

PoprzedniInfrastructure as Code: dlaczego "click-ops" to pułapka na wzrostNastępnyFinOps w małej firmie B2B: jak odzyskać kontrolę nad rachunkiem za chmurę bez dedykowanego zespołu