Širenje cloud virtuelnih mašina otvara tihe, ali ozbiljne bezbednosne rupe
WeLiveSecurity piše o problemu nekontrolisanog rasta virtuelnih mašina u cloud okruženjima i o tome kako takvi sistemi često ostaju bez nadzora, ažuriranja i jasne kontrole pristupa. Tekst naglašava da VM instance dobijaju identitete i dozvole koje se kasnije retko preispituju, pa zaboravljene ili preširoko ovlašćene mašine mogu postati nevidljiva ulazna tačka za napadače. Poseban problem nastaje u multi-cloud i hibridnim okruženjima, gde kompromitovana VM može služiti za lateralno kretanje prema drugim cloud resursima ili čak on-prem sistemima.
Ovo je važna operativna tema jer se rizik ne vidi uvek spolja, kao kod javno izloženog servisa, već iznutra, kroz mašinu koja je ostala da živi bez vlasnika i bez kontrole. U praksi, VM sprawl je često spoj loše vidljivosti, slabog least privilege pristupa i sporog gašenja resursa koji više nikome ne trebaju, ali i dalje imaju pristup važnim podacima i sistemima.
- Napraviti potpun pregled svih VM instanci kroz sva cloud i hibridna okruženja
- Preispitati identitete i dozvole dodeljene svakoj virtuelnoj mašini po principu najmanjih privilegija
- Ugasiti ili izolovati zaboravljene i neodržavane VM instance koje više nemaju jasnu svrhu
- Ograničiti east-west i north-south komunikaciju između workload sistema koliko god je moguće
- Povezati nadzor nad VM radom sa nadzorom nad identitetima i pristupom ka cloud i on-prem resursima