Onjuist geconfigureerde cloudomgevingen komen nog maar eens naar boven als groot beveiligingsprobleem in nieuw onderzoek. De verantwoordelijkheid voor die configuratie ligt bij de gebruikers, en daar is niet altijd voldoende kennis aanwezig.
Slecht geconfigureerde cloudomgevingen vormen een beveiligingsrisico. Dat blijkt uit een nieuw onderzoeksrapport van Accurics. Het bedrijf specialiseert zich niet toevallig in infrastructuur als code en pleit dus een beetje voor eigen winkel, maar dat maakt het probleem niet minder groot. De bevindingen van het rapport sluiten immers aan bij wat onderzoeken al verschillende jaren consequent blootleggen: klanten van cloudproviders maken configuratievergissingen en die openen de deur voor cybercriminelen.
Standaard-instellingen
De kern van het probleem zit volgens het onderzoek bij de standaard-instellingen, die verschillen van provider tot provider. Ontwikkelaars realiseren zich niet altijd dat de standaard-instellingen niet noodzakelijk aansluiten bij hun toepassingen. Organisaties die overstappen van een on-premises-omgeving naar de cloud of een hybride model, realiseren zich niet altijd waar hun verantwoordelijkheid begint en die van de cloudprovider eindigt. Ze gaan zo onterecht uit van een voldoende beveiliging van hun cloudinfrastructuur.
Accurics baseert zijn bevindingen in dit geval op een scan van 1.800 beveiligingspolicies op instances die het zelf beheert, alsook open source configuratiemanagers. De onderzoekers stellen vast dat het gemiddeld 25 dagen duurt voordat configuratiefouten herstelt worden, en zelfs 149 dagen voor problemen met load balancers. De meest kritieke problemen blijft zo het langst onopgelost.
Problemen met Kubernetes
De problemen treffen ook Kubernetesclusters in de cloud. Opnieuw laten ontwikkelaars zich vangen door ongeschikte standaard-instellingen. Volgens Accurics komen problemen in de helft van de gevallen voort uit oneigenlijk gebruik van de default namespace. Gebruikerscomponenten mogen niet draaien in de default namespace zodat ze gescheiden blijven van systeemcomponenten, maar dat is volgenshet rapport vaak niet het geval. Zo kan een aanvaller via een gecompromitteerd gebruikerscomponent toegang krijgen tot het systeem.
Gebruikers kunnen hun Kubernetes-infrastructuur wapenen door rolgebaseerde toegangscontrole te implementeren en die rollen goed te definiëren. Al te vaak ontstaat er echter een situatie met beperkte rollen met veel te veel rechten. Het rapport ziet dat specifiek probleem in 35 procent van de onderzochte gevallen.
De conclusie is al enkele jaren dezelfde. Je cloudprovider zorgt ervoor dat de infrastructuur veilig is, maar alles wat daar bovenop komt, is je eigen verantwoordelijkheid. AWS, Azure en GCP proberen weliswaar zoveel mogelijk veilige standaard-instellingen te forceren, maar die zijn niet altijd toereikend of toepasselijk. Best practices inzake beveiliging moet je zelf toepassen.