Я думал, что моя облачная установка была безопасна - пока не было
27 июня 2025 г.Вы никогда не забудете свой первый винт в облачной безопасности. Мой произошел в 2:37 в четверг, когда я получил слабый пинг, что наш бэкэнд был упал ... и наш счет AWS по какой -то необъяснимой причине утроился.
Оповещение о спойлере: это были мы. Не хакер. Не причудливый нулевой день. Просто ведро S3 с настройками по умолчанию и экземпляр EC2 с публичным IP и открытыми портами. Эта ночь прислала мне погружение по общеизвестной кроличьей дыре гигиены облачной безопасности, и с тех пор я никогда не смотрел на инфраструктуру.
Вот что я узнал, трудный путь (так что вам может не понадобиться):
1. Идентичность - это скрытый монстр
Все говорят о том, что я просто легко. Это не. Это хрупко. Это опасно. И это всегда чья-то проблема-до тех пор, пока вся ваша среда Dev не станет уничтожена, потому что у Dev-Admin было разрешение с подстановочным знаком.
Раньше я думал: «Просто дайте разработчикам некоторые права администратора - это быстрее». Теперь я думаю: «Кто, черт возьми, создал эту роль IAM, и почему она может запустить что -нибудь в любом регионе?» Если вы не аудит ролей ежемесячно и практикуете принцип наименьшей привилегии, вы играете в облачную рулетку. Вы не можете проиграть на этой неделе, но вы это сделаете.
2. Инфраструктура как код потрясающая - пока вы случайно не открываете мир
Я большой поклонник Terraform. Я также большой поклонник Pulumi. Что мне не нравится, так это то, как одна маленькая опечатка в блоке CIDR (глядя на вас, 0,0.0.0/0 ...) может разыграть весь стек в Интернет. Однажды я развернул совершенно новый стек и забыл включить шифрование на RDS. Эта база данных работала незашифрованной в течение 3 часов, прежде чем мы заметили, и в то время она приняла 19 попыток соединения от случайных IPS.
Извлеченный урок: если вы пишете IAC и не запускаете его через Checkov, TFSEC или KICS, вы только быстрее автоматизируете свои ошибки.
3. Инструменты безопасности бесполезны, если вы игнорируете оповещения
У нас были Guardduty, Cloudtrail, все навороты. Но никто не смотрел на оповещения. Почему? Потому что мы не настраивали их. Это было похоже на то, чтобы быть в серверной комнате с 40 пожарными сигнализациями ... и просто привыкнуть к ней. Когда мы серьезно относились к безопасности, мы начали отправлять оповещения с высоким приоритетом в Slack.
Мы сделали "красный канал". Просто срочные оповещения. Просто предметы, которые являются действенными. Это когда безопасность перестала быть шумом и начала становиться культурой.
4. Настоящее исправление - это рано владеть им
«Devsecops» - это маркетинговое модное слово для непосвященных, пока ваша команда не обнаружит, что они несут ответственность за долг безопасности всего, что они отправляют. Мы добавили сканирование безопасности в наш процесс CI/CD. Мы включили предварительные обязанности, чтобы получить секреты. Мы сделали пьесы для ответов на инцидент.
Ничего из этого не произошло в одночасье, но сдвиг все изменил. Разработчики перестали думать о безопасности как: «Это для кого -то другого». Они начали рассматривать безопасность как компонент своего ремесла.
Заключительная мысль: Paranoia - это функция, а не ошибка
Облако удивительно. Это быстро. Это масштабируемо. Это мощно. Но это также не делает сочувствие. С одной неуместной конфигурацией все кончено, и вы окажетесь в новостях. Я узнал, как нет второго шанса надежно построить облачную инфраструктуру. Вы либо строите это хорошо, либо перестроните его после нарушения. Быть параноиком. Быть громким. Будьте человеком, спрашивающим: «Подожди, это безопасно?» Даже когда это раздражает людей. Однажды это не будет тренировка.
Оригинал