Хакеры могут атаковать инструменты, которые помогают управлять облачной инфраструктурой и политиками
Протокол OpenVPN – доступ к вашему бюстгальтеру
- Исследователи безопасности обсуждают уязвимости в инфраструктуре как коде (IaC
- Мошенники могут злоупотреблять системой разными способами.
- Проблемы также имеют общие защитные механизмы и решения
Эксперты предупреждают, что проблемы безопасности, связанные со специализированными инструментами «Инфраструктура как код» (IaC) и «Политика как код» (PaC), могут подвергнуть риску целые платформы по всему миру.
В отчете исследователей кибербезопасности компании Tenable показано, как некоторые инструменты, используемые для управления облачной инфраструктурой и политиками, такие как Terraform и Open Policy Agent (OPA), могут быть перехвачены и использованы в злонамеренных целях.
Эти инструменты используют упрощенные языки программирования, что должно сделать их более безопасными, чем традиционные языки программирования, но у них все еще есть свои недостатки.
Как защититься
«Поскольку это безопасные языки с ограниченными возможностями, они действительно должны быть более безопасными, чем стандартные языки программирования. Однако более безопасные не значит неуязвимые», — говорят исследователи.
Обсуждая OPA, компания Tenable пояснила, что это продукт, который позволяет организациям применять правила или политики для управления облачными ресурсами. Для выражения этих правил он использует язык Rego. Если злоумышленник украдет ключи доступа, он может добавить поддельные политики Rego для одобрения вредоносных действий, таких как кража конфиденциальных данных.
Terraform, с другой стороны, помогает компаниям определять настройки облака и управлять ими с помощью кода. Поскольку он обрабатывает команды внутри рабочего процесса, хакер может внедрить в процесс вредоносный код, и инструмент затем запустит код, прежде чем кто-либо заметит. Теоретически мошенники могут добавить поддельные «источники данных», что приведет к вредоносной деятельности.
Чтобы предотвратить эти атаки, исследователи рекомендуют командам использовать управление доступом на основе ролей (RBAC), чтобы предоставлять людям минимально необходимые разрешения, регистрировать активность на уровне приложений и облака, чтобы легче обнаруживать подозрительное поведение, а также ограничивать приложениям и машинам доступ к данным и сетям.
Они также рекомендуют предотвратить автоматизацию непроверенных изменений кода или рабочего процесса и использовать такие инструменты, как Terrascan и Checkov, для сканирования кода инфраструктуры на наличие проблем перед его развертыванием.
