Cloud security challenges for a leading retail conglomerate

V důsledku nárůstu online objednávek vyvolaného pandemií se škálovatelnost sítě a IT zdrojů stala kritickým faktorem pro maloobchodní podnikání zákazníka XXXXXXX. Díky různým vzorcům poptávky zákazníků přineslo využívání cloudové platformy pro infrastrukturu značné výhody. Klíčovým faktorem pro přijetí cloudu a výběr Amazon AWS jako preferované platformy bylo schopenost poskytovat různé zdroje na požádání.

Nové výzvy a hrozby pro bezpečnost však přineslo nedávné odhalení úspěšného útoku na níže úrovni na cloudové servery. Organizace zřetelně selhala v zabezpečení cloudových služeb a v zajištění správného řízení rizik spojených s cloudovými výpočty. Objev útoku během auditu vyvolal potřebu odborných znalostí pro vyhodnocení a posílení lepší bezpečnosti cloudu.

Odborníci na bezpečnost cloudu z NobleProg identifikovali tři klíčové oblasti bezpečnosti cloudu, kterým je třeba věnovat pozornost:

• Identifikace a autentizace založená na zásadách.
• Kontrola bezpečnosti sítě v cloudu s principem nulové důvěry.
• Použití webové aplikační brány nové generace pro zabezpečení všech webových aplikací.

V spolupráci s IT týmy a obchodními odděleními jsme identifikovali jasné skupiny a role pro přístup a správu cloudových zdrojů, čímž jsme zajistili minimální oprávnění potřebná pro provádění činností. Byl proveden kompletní přezkum bezpečnostních politik, aby byla zajištěna řádná hygiena IAM, včetně politik hesel a dalších opatření. Pro jakýkoli administrativní přístup byla zavedena dvoufázová autentizace.

Využití virtuálních soukromých cloudů (VPC) v AWS umožnilo navrhnout mikrosegmentaci, která izolovala kritické aplikace od ostatních pracovních zátěží. Byly naplánovány podsítě, čímž byla přidána další vrstva izolace. Pro ochranu všech serverů webových aplikací před hrozbami byla v cloudu implementována brána nové generace.

Během projektu, v rámci dodržování dobré bezpečnostní hygieny v cloudu, jsme objevili nesprávně nakonfigurovaná úložná prostorná (buckets), která náhodně exponovala některá data. Také bylo nutné přemístit webové aplikační brány blíže k mikroslužbám, které spouštěly aplikace. Jednalo se o menší překážky, které však představovaly důležitou lekci. Bylo navrženo několik dalších kontrol pro zajištění lepší bezpečnosti cloudu, jako jsou řešení pro inteligenci hrozeb a další kontrolní prvky datové bezpečnosti, ale s ohledem na obchodní priority a připravenost IT byly zařazeny do budoucího plánu.

V tomto projektu společnost NobleProg úspěšně vyhodnotila rizika bezpečnosti cloudu pro maloobchodního zákazníka a díky svým odborným znalostem realizovala implementaci bezpečnosti cloudu. Mezi klíčové dodávky patřilo:

• Snížení rizika kompromitace administrativních účtů.
• Omezení rizika hrozeb pro aplikace.
• Bezpečný návrh cloudu, který omezuje škody v případě kompromitace.
• Jasný plán kontrol a priorit implementace.
• Zajištění, aby podnik mohl nadále využívat možnosti cloudu při minimalizaci rizik.