Microsoft_Azure_1

El descubrimiento de vulnerabilidades graves en la base de datos Cosmos de Azure y la máquina virtual Linux muestra que no puede dar por sentada la seguridad en la nube. A continuación, le mostramos cómo reducir el riesgo de vulnerabilidades actuales y futuras.

A menudo se nos dice que la nube es más segura que las soluciones locales. ¿Pero lo es realmente? Ambos están sujetos a riesgos y vulnerabilidades similares, y la nube a veces puede ser más complicada que en las instalaciones debido a nuestra falta de familiaridad con la implementación y el parcheo.

Los acontecimientos recientes han puesto de relieve los riesgos de la nube. A continuación, se muestra una descripción general de esos eventos, las lecciones que se pueden aprender de ellos y otros riesgos comunes de la nube que los administradores deben comprender.

Microsoft deja la puerta abierta a Azure Cosmos

Investigadores de la firma de seguridad Wiz anunciaron recientemente que pudieron obtener acceso completo y sin restricciones a las cuentas y bases de datos de varios miles de clientes de Microsoft Azure en sus bases de datos de Cosmos. Podrían manipular el cuaderno Jupyter local y escalar privilegios a otros cuadernos de clientes que contienen varios secretos del cliente, incluida su clave principal de Cosmos DB. “La vulnerabilidad afecta solo a las bases de datos Cosmos que tenían una computadora portátil Jupyter habilitada y permitían el acceso desde IP externas”, escribieron los investigadores. Recomiendan varias formas de identificar y proteger estos cuadernos de Jupyter en otra publicación de blog , y CISA recomienda que los usuarios de estos servicios transfieran y regeneren las claves de certificado de Azure.

La vulnerabilidad de la máquina virtual de Azure Linux requiere un parche manual

Luego, los mismos investigadores descubrieron un problema importante que llamaron OMIGOD. Se encontraron vulnerabilidades en Open Management Infrastructure (OMI), el equivalente en Linux de la Windows Management Infrastructure (WMI) de Microsoft. Este servicio se instala de forma silenciosa en todas las máquinas virtuales de Azure Linux. No se puede parchear fácilmente y, en este momento, cualquier máquina virtual Linux recién instalada está sujeta al potencial de ejecución remota de código.

Los investigadores de Wiz encontraron que el 65 por ciento de los clientes estaban potencialmente expuestos a riesgos. Lo que es aún más perturbador para mí como alguien que monitorea los problemas de parcheo es que esta vulnerabilidad no solo es difícil de parchear, sino que Microsoft no parecía comprender completamente las recomendaciones y los procesos para parchear y proteger las máquinas. Como señala la compañía en su blog , esta aplicación no tiene un mecanismo de actualización automática, por lo que hay que realizar un parche manual. Microsoft está en proceso de actualizar una versión fija del OMI para depender de una versión parcheada.

Las vulnerabilidades de OMI y Azure Cosmos muestran que incluso los mejores y más grandes proveedores de nube pueden tener vulnerabilidades. La conclusión clave aquí es observar qué tan bien responden los proveedores de la nube cuando se conocen esas vulnerabilidades.

Credenciales dejadas expuestas en repositorios

Otra forma común en la que los servicios en la nube se configuran incorrectamente o se dejan inseguros es el equivalente en la nube de una nota adhesiva en su escritorio con la contraseña escrita en ella. Con demasiada frecuencia, los desarrolladores dejan contraseñas estáticas o guardadas en los repositorios de GitHub. A menudo escuchará a la gente hablar sobre "compilaciones" y "versiones" de código. Esto permite a los desarrolladores realizar un seguimiento de las distintas versiones, así como realizar un seguimiento de las correcciones de errores. También permite al desarrollador dejar notas en los márgenes y, a veces, eso incluye credenciales codificadas que los atacantes pueden descubrir.

En junio, GitHub agregó el escaneo de credenciales a sus herramientas. Han estado escaneando códigos en busca de secretos que no deberían exponerse desde 2015, pero agregaron el escaneo de credenciales de registro de paquetes para asegurarse de que los atacantes no puedan encontrar estas contraseñas.

Lecciones aprendidas sobre seguridad de los servicios en la nube

Los desarrolladores y administradores siempre deben:

  • Revise cuáles de los servicios en la nube que utiliza tienen acceso IP externo.
  • Evalúe los riesgos involucrados en el acceso externo y determine si hay otras formas de proteger ese acceso.
  • Configure las notificaciones de sus proveedores en la nube para mantenerse informado de los problemas de seguridad.
  • Manténgase al tanto de las conversaciones de seguridad y las noticias relacionadas con la plataforma de desarrollo que utiliza. En el caso de Microsoft Azure, puede usar la página de inicio del Centro de respuesta de seguridad de Microsoft y filtrar la familia de productos de Azure para las herramientas que usa. Los proveedores de la nube a menudo solucionarán el problema y le avisarán si necesita instalar parches.

Las pequeñas y medianas empresas también tienen opciones. Decida dónde desea que residan sus datos y determine si los proveedores que utiliza eligieron las soluciones adecuadas. A menudo utilizo la política de contraseñas de un sitio como una pista para saber qué tan receptivo y responsable es un proveedor. Si hay un límite en la cantidad de caracteres o un límite en el uso de frases de contraseña complejas, es una señal de que el proveedor está utilizando una solución de autenticación más antigua. Si el sitio limita la autenticación de dos factores al simple uso de una función de texto del teléfono celular y no ofrece una aplicación de autenticación, es una señal de que sus procesos de autenticación deben ser mejores.

Muchas organizaciones financieras ofrecen solo autenticación de teléfono celular como su opción de dos factores. Las organizaciones financieras suelen ser las más lentas en la implementación de nuevas tecnologías, ya que sus pruebas y requisitos conducen a implementaciones prolongadas. Asegúrese de que su información financiera esté protegida al menos por algún tipo de proceso de dos factores.

Revise si los proveedores que utiliza han configurado programas de recompensas por errores para asegurarse de que los investigadores puedan informarles los problemas directamente. Por ejemplo, Microsoft tiene un programa de recompensas de errores en línea , así como uno específico para Azure .

Revise dónde traza el límite el proveedor en cuanto a cuál es su responsabilidad y cuál es su responsabilidad. Microsoft tiene varios documentos técnicos sobre este concepto de responsabilidad compartida entre el proveedor y el desarrollador. Revise estos documentos para ver qué se supone que deben hacer sus proveedores. En el caso de Microsoft:

“Para las soluciones locales, el cliente es responsable y responsable de todos los aspectos de la seguridad y las operaciones. Para las soluciones IaaS, los elementos como edificios, servidores, hardware de red y el hipervisor deben ser administrados por el proveedor de la plataforma. El cliente es responsable o tiene una responsabilidad compartida de proteger y administrar el sistema operativo, la configuración de la red, las aplicaciones, la identidad, los clientes y los datos. Las soluciones PaaS se basan en implementaciones de IaaS, y el proveedor también es responsable de administrar y asegurar los controles de red. El cliente sigue siendo responsable o tiene una responsabilidad compartida de proteger y administrar aplicaciones, identidad, clientes y datos. Para las soluciones SaaS, un proveedor proporciona la aplicación y extrae a los clientes de los componentes subyacentes. Sin embargo, el cliente sigue siendo responsable; deben asegurarse de que los datos se clasifiquen correctamente y comparten la responsabilidad de administrar a sus usuarios y dispositivos de punto final ".

Por último, observe el proceso del proveedor para que sus clientes estén al tanto de los problemas de seguridad en la nube. ¿Recomiendan que se registre para recibir alertas cuando use su software? Al instalar la parte local del servicio en la nube, ¿se aseguran de que siempre verifique las actualizaciones necesarias cuando use la aplicación? Revise lo que dicen los usuarios actuales sobre el software y qué tan receptivo es el proveedor con su base de clientes. Comuníquese con otros tomadores de decisiones comerciales para conocer sus experiencias con sus proveedores de nube. ¿El proveedor actualiza sus servicios en la nube de manera oportuna y qué tan bien le informan de estos mandatos de implementación?

En resumen, no importa dónde se encuentren sus datos, deberá revisar cómo responden sus proveedores a los problemas. Atacantes e investigadores que buscan vulnerabilidades de la computación en la nube. Conviértase en un consumidor más consciente de los servicios en la nube. Pregunte a sus proveedores cómo manejan la seguridad y la comunicación con usted y su empresa. Controle la rapidez con la que su proveedor responde a los problemas, no la cantidad de afirmaciones que le brindan de que son seguros.

 

Fuente: reseller.co.nz | somoslibres

¿Quién está en línea?

Hay 4276 invitados y ningún miembro en línea