Какво включва един добър cloud security одит
Все повече компании минават към облака - AWS, Azure, Гугъл Cloud или частни хибридни решения. Но сигурността в облака не се ръководи от доставчика. Отговорността е споделена, а контролът- Ваша грижа. Ако не знаете кой има достъп, какви права има и къде отиват данните Ви, значи към този момент сте в риск.
В тази публикация ще Ви покажем какво включва един действително потребен - без общи приказки, с образци, съответни инспекции и рекомендации, които да приложите незабавно.
1. Преглед на архитектурата и споделената отговорност
Проверява се дали сте наясно кой дава отговор защо: доставчикът (хардуер, мрежа, физическа сигурност) vs. Вие (идентичности, данни, конфигурации).Проверяват се употребяваните услуги- виртуални машини, контейнери, предпазване, бази данни, безсървърни функционалности.Съществуват ли непотребни или недокументирани съставни елементи?2. Управление на идентичности и достъпи (IAM)
Проверка на IAM политики и роли- кой има достъп до какво?Има ли прекомерно необятни права (admin, root)?Използва ли се MFA за административни сметки?Преглед на ключове, API tokens, споделени сметки и краткотрайно предоставени права.3. Конфигурационна сигурност
Сканиране за неверни или рискови конфигурации- например обществени S3 кофи, отворени портове в security groups, погрешно настроени firewall-и.Сравнение със CIS Benchmarks за съответната платформа (AWS, Azure, GCP).Проверка за изчезнали tagging политики- asset visibility.4. Шифроване и отбрана на данните
Използва ли се шифриране на данни неподвижен и в придвижване (at-rest & in-transit)?Кой ръководи криптографските ключове (KMS, BYOK, HSM)?Какви са политиките за backup и disaster recovery?5. Наблюдение, логване и реакция
Активирани ли са CloudTrail, Azure Monitor, Stackdriver?Събирате ли логове от всички съставни елементи?Използва ли се SIEM/EDR решение?Имате ли дефиниран playbook за cloud произшествия?6. Мрежова сигурност
Какво е мрежовото сегментиране (VPC, Subnets, NSG)?Проверка за отворени врати, обществени IP-та, липса на ACL.Използване на Cloud Firewall, Web Application Firewall (WAF)?7. Контрол на конфигурациите с IaC (Infrastructure as Code)
Използвате ли Terraform, CloudFormation, Pulumi?Поддържате ли надзор на версиите, peer review, автоматизиран linting?Сигурни ли сте, че CI/CD pipeline-ите не изтичат секрети?8. Съответствие и одитна проследимост
Проверка за съгласуемост с ISO 27017, ISO 27018, SOC 2, GDPR.Води ли се документи за одити и промени?Поддържа ли се logging, версиониране и непроменяеми лога (immutable logs)?
Какво включва положителният заключителен доклад от одита?
Подробен лист с откритите проблеми- категоризирани по сдържаност.Препоръчани дейности с съответни указания.Примерни политики и шаблони.Скрийншоти и доказателства.Обобщение, което може да се даде на управление и вложители.
Инструменти, които може да употребявате
AWS Inspector, Azure Security Center, GCP Security Command CenterProwler, ScoutSuite, SteampipeCloudSploit, Dome9, Prisma CloudOpen Policy Agent (OPA), HashiCorp SentinelОблачният одит не е условност. Той е огледало на Вашата архитектура, процеси и привички. Показва освен какво сте пропуснали, само че и къде можете да се подобрите.
Това е инструмент, който Ви оказва помощ да подредите инфраструктурата, да спрете слабите места в точния момент и да изградите просвета на сигурност.
Започнете от най-видимото - конфигурациите. Продължете към ръководството на достъпа. Обърнете внимание на логовете, реакцията при произшествия и документирането на процесите.
Одитът не е еднократно изпитание. Той е част от развиването на една виновна и устойчива облачна среда. Поддържайте го постоянно, адаптирайте го към новите услуги и закани, и го използвайте като компас, a не като наказване.
* обява
