사이버 범죄자들은 잘못된 구성, 잘못된 자격 증명 관행, 패치되지 않은 보안 버그 또는 기타 기업의 숨겨진 문과 같은 액세스 관리의 사각 지대를 항상 찾습니다. 이제 조직이 클라우드로의 현대화 경향을 계속하면서 악의적인 행위자가 새로운 기회를 이용하고 있습니다. 조직에서 클라우드 공급자를 사용하는 방식의 액세스 결함 및 잘못된 구성 ID 및 액세스 관리(IAM) 레이어.
10월 XNUMX일 수요일 Black Hat USA에서 "IAM 노크하는 자," Ermetic의 연구 책임자인 Igal Gofman은 이 새로운 위험 경계에 대한 견해를 제시할 것입니다. “방어자들은 새로운 경계가 이전과 같은 네트워크 계층이 아님을 이해해야 합니다. 이제 정말 IAM이 되었습니다. 모든 것을 관리하는 것은 관리 계층입니다.”라고 그는 Dark Reading에 말했습니다.
복잡성, 시스템 ID = 불안정
그는 클라우드 IAM을 구현할 때 보안 팀이 밟는 가장 일반적인 함정은 환경의 순전한 복잡성을 인식하지 못한다고 지적합니다. 여기에는 SaaS(Software-as-a-Service) 앱이 생성한 권한 및 액세스 권한의 급증을 이해하는 것이 포함됩니다.
"공격자들은 피싱이나 다른 접근 방식을 통해 계속해서 토큰이나 자격 증명에 손을 대고 있습니다."라고 Gofman은 설명합니다. “한 번에 로컬 시스템에 있는 것 이상으로 공격자에게 많은 것을 제공하지 않았습니다. 그러나 최근 몇 년 동안 모든 사람이 클라우드로 이전하고 클라우드 리소스에 더 많이 액세스할 수 있기 때문에 이러한 보안 토큰은 훨씬 더 많은 액세스 권한을 갖게 되었습니다.”
복잡성 문제는 기계 엔티티 - 인간과 달리 항상 일하고 있습니다. 클라우드 컨텍스트에서 API 키를 사용하여 클라우드 API에 액세스하는 데 사용됩니다. 서버리스 애플리케이션을 활성화합니다. 보안 역할 자동화(예: 클라우드 액세스 서비스 브로커 또는 CASB) 서비스 계정을 사용하여 SaaS 앱과 프로필을 서로 통합합니다. 그리고 더.
평균적인 회사가 현재 수백 개의 클라우드 기반 앱과 데이터베이스를 사용하고 있다는 점을 감안할 때 이 대량의 컴퓨터 ID는 조직의 인프라를 뒷받침하는 매우 복잡한 권한과 액세스 권한의 복잡한 웹을 제공하므로 가시성을 확보하고 관리하기 어렵습니다. 고프만은 말한다. 그렇기 때문에 적들은 이러한 신원을 점점 더 악용하려고 합니다.
"우리는 내부적으로 다른 리소스와 다른 서비스에 액세스할 수 있는 비인간 ID의 사용이 증가하는 것을 보고 있습니다."라고 그는 말합니다. “이것은 다른 서비스와 대화하는 서비스입니다. 그들은 권한이 있으며 일반적으로 인간보다 더 광범위한 액세스 권한이 있습니다. 클라우드 공급자는 기본 수준에서 사용자가 더 안전하다고 생각하기 때문에 사용자가 이를 사용하도록 압박하고 있습니다. 그러나 인간이 아닌 ID를 사용하여 환경을 손상시키는 데 사용할 수 있는 일부 착취 기술이 있습니다.”
그는 관리 권한이 있는 머신 엔티티가 특히 공격자가 사용하기에 매력적이라고 덧붙였습니다.
"이것은 특히 Azure에서 사이버 범죄자가 표적으로 삼는 주요 벡터 중 하나입니다."라고 그는 설명합니다. "IAM 내에서 이를 관리하는 방법을 잘 이해하지 못한다면 보안 허점을 제공하는 것입니다."
클라우드에서 IAM 보안을 강화하는 방법
방어적인 관점에서 Gofman은 조직이 클라우드에서 효과적인 IAM을 구현하는 문제를 해결할 수 있는 많은 옵션에 대해 논의할 계획입니다. 첫째, 조직은 클라우드 공급자의 로깅 기능을 활용하여 환경에 누가, 무엇이 존재하는지에 대한 포괄적인 보기를 구축해야 합니다.
"이러한 도구는 실제로 광범위하게 사용되지는 않지만 사용자 환경에서 무슨 일이 일어나고 있는지 더 잘 이해할 수 있는 좋은 옵션입니다."라고 그는 설명합니다. “사용자가 무엇을 사용하고 있고 어떤 권한을 가지고 있는지 정확히 볼 수 있기 때문에 로깅을 사용하여 공격 표면을 줄일 수도 있습니다. 관리자는 명시된 정책을 주어진 인프라 내에서 실제로 사용되는 정책과 비교할 수도 있습니다.”
그는 또한 상위 XNUMX개 퍼블릭 클라우드 제공업체인 Amazon Web Services, Google Cloud Platform, Microsoft Azure의 다양한 IAM 서비스와 이들의 보안 접근 방식을 분석하고 비교할 계획입니다. 이들은 모두 약간 다릅니다. 멀티 클라우드 IAM은 다양한 제공업체의 다양한 클라우드를 사용하는 기업에 추가된 주름이며, Gofman은 제공하는 도구 간의 미묘한 차이를 이해하면 방어를 강화하는 데 큰 도움이 될 수 있다고 말합니다.
그는 또한 조직이 다양한 타사 오픈 소스 도구를 사용하여 인프라 전반에 걸쳐 더 나은 가시성을 얻을 수 있다고 언급하며 공동 발표자이자 Ermetic의 연구 책임자인 Noam Dahan과 함께 한 가지 옵션을 시연할 계획이라고 덧붙였습니다.
"Cloud IAM은 매우 중요합니다."라고 Gofman은 말합니다. "우리는 위험, 사용할 수 있는 도구, 사용된 권한과 사용하지 않는 권한을 더 잘 이해하는 것의 중요성, 관리자가 사각 지대를 식별할 수 있는 방법과 위치에 대해 이야기할 것입니다."
