Згідно з одним звітом, багато підприємств не знають про кількість машинних ідентифікаторів, якими вони володіють – дослідження виявило, що “в 45 разів більше машинних ідентичностей, ніж людських”, більшість з яких не відстежуються, як зазначається в аналізі підприємства. У нашому випадку я оцінюю, що у нас було сотні цих ідентичностей, набагато більше, ніж ми зрозуміли.
Розповсюдження хмарної ідентичності в епоху мульти хмар
Це нове поле битви в хмарній безпеці. Хоча ми часто чуємо про такі загрози, як фішинг або викуп, більш підступний ризик зростає – машинні ідентичності. У середовищі з мультипраці кількість облікових даних для кожної мікросервісу, віртуальної машини (VM) або функції без сервера може швидко вийти з-під контролю. Ми виявили, що керують півдесятка систем IAM без єдиного погляду на них. Ролі на кшталт “ETL-Service” в одній хмарі виконували ту саму функцію, що і “ETL-Worker” в іншій, і ми намагалися відслідковувати дублікати.
Було легко помилитися. У нашому поспіху ми надали багато облікових записів на послуги широкі права адміністратора, плануючи їх звузити пізніше. Статистика зрозуміла: у своєму звіті про найкращі загрози 2024 року Альянс хмарної безпеки посіла IAM як питання номер один. Це включає в себе рахунки людини та машин. На практиці викрадена або зловживана машинна ідентичність дозволяє зловмиснику рухатися збоку – зрештою, навантаження повинні довіряти один одному.