Geautomatiseerd cloudbeheer veel minder veilig dan gedacht

Onderzoekers van Palo Alto Networks hebben de nieuwe werkwijze van DevOps teams onder de loep genomen. Uit het Unit 42 Cloud Threat Report blijkt dat zij meer dan 199.000 templates tegen zijn gekomen die in gebruik zijn om cloudinfrastructuur te configureren. "Je hebt maar een misconfiguratie nodig om een hele cloud-omgeving kwetsbaar te maken", waarschuwen de onderzoekers in hun rapportage.

De DevOps-teams gaan ook niet erg zorgvuldig bij het om met data. Maar liefst 43 procent van de onderzochte databases bleek niet versleuteld. De onderzoekers vergelijken het gebruik van een onversleutelde database met een huis met glazen wanden. Alleen door het gebruik van encryptie is het mogelijk te voorkomen dat bij een cyberaanval de criminelen de opgeslagen informatie kunnen misbruiken.

Logdata ontbreken

Bij 60 procent van clouddiensten wordt er geen logdata verzameld. Ook hier maken de Palo Alto-onderzoekers een vergelijking met de fysieke wereld: geen bedrijf zou er over piekeren het logboek van het magazijn weg te doen of het cameratoezicht bij de ingang weg te halen. Op die manier wordt het namelijk onmogelijk te traceren wie er de locatie binnen zijn gegaan.

Van de kwetsbare templates waren de meeste (42%) van het CloudFormation-type. Terraform (22%) en K8 YAML (9%) volgden.

Situatie verslechtert

Alarmerend is verder dat de Palo Alto-onderzoekers constateren dat de beveiliging van cloudconfiguraties - afgezien van de problemen met de templates - eerder verslechtert dan verbetert. Zo bevat 76% van de onderzochte workloads een open SSH-poort (poort 22). In het vorig rapport was dat nog maar 20%. Aanvallers krijgen door de openstelling een gemakkelijk op afstand toegang tot de cloudservers.

Ook het aantal open RDP (3389)-poorten nam toe van 30 naar 69 procent. Net als SSH stelt RDP aanvalers in staat "op de voordeur te kloppen terwijl ze niet zouden moeten weten dat die er is".