Chmura CSPM+

Dostawcy usług w chmurze stosują model współdzielonej odpowiedzialności (Shared Responsibility Model). Oznacza to, że dostawcy chmury odpowiadają za bezpieczeństwo infrastruktury i usług chmurowych, w tym podstawowych komponentów sprzętowych, sieciowych i programowych. Jednocześnie klienci są odpowiedzialni za zabezpieczenie swoich danych, aplikacji, zarządzanie dostępem tożsamości (IAM) oraz konfiguracje w środowisku chmurowym. To, co w środowisku lokalnym było wyłączną odpowiedzialnością klienta, w chmurze jest podzielone między klienta a dostawcę usług.

Usługi chmurowe zapewniają doskonałą skalowalność i elastyczność, znacząco poprawiając efektywność operacyjną, ale wprowadzają również potencjalne ryzyka związane z większą powierzchnią ataku i koniecznością zapewnienia widoczności bezpieczeństwa w chmurze. Jednym z podstawowych wyzwań w bezpieczeństwie chmury jest zapewnienie, że konfiguracja zasobów chmury publicznej nie tylko chroni dane i systemy przed zagrożeniami, ale także spełnia wymogi regulacyjne, ramy zgodności oraz najlepsze praktyki branżowe.

W tym dokumencie technicznym omawiamy, jak Bitdefender GravityZone Cloud Security Posture Management (CSPM+) pomaga organizacjom zarządzać ryzykiem bezpieczeństwa i zgodności bez konieczności posiadania zaawansowanej wiedzy o bezpieczeństwie chmury. Dowiesz się, jak zintegrować rozwiązanie z platformą chmurową, eliminować wykryte zagrożenia i spełniać standardy bezpieczeństwa.

Bitdefender CSPM+

Bitdefender CSPM+ obejmuje nie tylko funkcjonalność Cloud Security Posture Management (CSPM), która zapewnia bezpieczną i zgodną konfigurację zasobów chmurowych w celu identyfikacji i eliminacji potencjalnych zagrożeń i błędów konfiguracyjnych, ale także Cloud Identity and Access Management (IAM). Funkcja IAM (znana również jako CIEM – Cloud Infrastructure Entitlement Management) zarządza tożsamościami użytkowników – zarówno ludzkich, jak i maszynowych (np. konta usługowe) – oraz uprawnieniami dostępu w środowisku chmurowym. Te zintegrowane funkcjonalności zapewniają bezpieczeństwo i precyzyjną kontrolę nad zasobami chmurowymi, tworząc kompleksowe i bezpieczne środowisko obliczeniowe w chmurze.

Interfejs

Platforma zarządzania CSPM+ jest zintegrowanym komponentem Bitdefender GravityZone. Dostęp do niej odbywa się za pośrednictwem konsoli w GravityZone.

Konsola Bitdefender GravityZone

Konsola zarządzania Bitdefender GravityZone CSPM+

CSPM+ jest dostępne dla klientów w UE, USA i regionie APAC.

Integracja

Integracja zapewnia pełną widoczność zasobów chmurowych i tożsamości w Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure i Alibaba Cloud. Jest to integracja bezagentowa – zbieramy wyłącznie metadane konfiguracyjne chmury dla kont klientów. CSPM+ działa na poziomie metadanych środowiska i nie ma dostępu ani nie modyfikuje danych w obciążeniach, instancjach obliczeniowych ani żadnych lokalizacjach, w których mogą znajdować się dane. Ta bezagentowa integracja zbiera i analizuje metadane konfiguracyjne chmury z infrastruktury klienta. Ponieważ CSPM+ integruje się bezpośrednio z dostawcą chmury na poziomie zarządzania (zamiast korzystać z tradycyjnych agentów wewnątrz obciążeń), nie ma żadnego wpływu na wydajność środowiska.

Administratorzy mogą określić częstotliwość skanowania środowiska chmurowego na poziomie integracji, wybierając między skanami codziennymi, cotygodniowymi lub na żądanie, w zależności od dynamiki konfiguracji chmury. Skanowanie na żądanie jest szczególnie przydatne, gdy administrator chce natychmiast sprawdzić, czy wprowadzone zmiany naprawiły wykryte problemy – w przeciwnym razie musiałby czekać na kolejne zaplanowane skanowanie. Skanowanie na żądanie jest skanem różnicowym dla konkretnej reguły i nie obejmuje całego środowiska.

Aby dołączyć konto chmurowe, administrator musi skonfigurować sekcję Scan Configuration, postępując zgodnie z podanymi krokami.

Bitdefender GravityZone CSPM+ Konsola integracji konfiguracji skanowania

Integracja z AWS

W przypadku AWS administratorzy mogą zautomatyzować ten proces, korzystając z zalecanej opcji CloudFormation, lub wykonać go ręcznie. CloudFormation utworzy rolę IAM z niezbędnymi uprawnieniami Security Audit, a integracja zajmie tylko kilka minut. Komunikacja między GravityZone a dostawcą chmury odbywa się za pośrednictwem API.

Dodatkowo administratorzy mogą skonfigurować Remediation Role ARN dla funkcji One-Click Remediation. Pozwala to na usunięcie klucza dostępu, profilu logowania, użytkownika i zasad użytkownika.

Integracja z GCP

W przypadku GCP administratorzy mają do dyspozycji dwa typy integracji Poziom organizacji, Poziom projektu. Obie konfiguracje muszą być wykonane ręcznie. Po dodaniu organizacji GCP, administrator uzyskuje kontrolę nad całą organizacją i wszystkimi wybranymi projektami. W przypadku integracji na poziomie projektu kontrola dotyczy tylko skonfigurowanego projektu – nowy projekt wymaga nowej integracji.

Integracja z Azure

W przypadku Azure administratorzy mogą rozpocząć automatyczną integrację za pomocą zalecanej opcji ARM Deployment lub wykonać ją ręcznie. Opcja ARM Deployment utworzy rolę dostępu (IAM) z wcześniej przypisanymi uprawnieniami dla „Active Directory App Permissions”, takimi jak User.Read.All, Group.Read.All i Application.Read.All.

Bitdefender GravityZone CSPM+ ze skonfigurowanymi wszystkimi usługami w chmurze

Po udanej integracji, GravityZone CSPM+ konsoliduje dane ze wszystkich skanów, zapewniając administratorowi wysoki poziom zrozumienia stanu bezpieczeństwa chmury.

Integracja z Alibaba Cloud

W przypadku Alibaba Cloud administratorzy mogą zautomatyzować wdrożenie za pomocą RAM Policies, wklejając kod JSON wygenerowany przez CSPM+. Komunikacja między Alibaba Cloud a CSPM+ odbywa się za pośrednictwem OpenAPI. Ta integracja umożliwia usprawnione zarządzanie zasadami i bezpieczną wymianę danych, zapewniając ciągły monitoring i aktualizację stanu bezpieczeństwa chmury.

Zgodność

Zgodność w chmurze jest zapewniana poprzez ciągłe kontrole bezpieczeństwa konfiguracji zasobów chmurowych klienta, oparte na standardach bezpieczeństwa i ramach zgodności regulacyjnej, takich jak CIS i GDPR. Obecnie Bitdefender GravityZone CSPM+ obsługuje ponad 20 frameworków i regulacji, w tym CIS, PCI DSS, NIST CSF, CCM, ISO 27001, SOC2 i GDPR. Zgodność można sprawdzić, przeglądając reguły lub bezpośrednio z menu głównego. Obejmuje również zbiór najlepszych praktyk dla zasobów chmurowych, zapewniających bezpieczne konfiguracje dla elementów takich jak tożsamości, bazy danych i instancje obliczeniowe.

Sekcja Compliance w Bitdefender GravityZone CSPM+

W sekcji Compliance administrator może sprawdzać Standardy zgodności i Raporty. Standardy zgodności są przydatne dla analityków bezpieczeństwa i zespołów DevOps do szybkiej oceny określonego frameworka lub szablonu oraz sprawdzenia, co wymaga remediacji.

Opis szczegółów Bitdefender GravityZone CSPM+

Sekcja Raporty umożliwia generowanie dedykowanego raportu, który można wyeksportować i wysłać np. do niezgodnych działów lub zespołów. Administratorzy mogą wybrać, które standardy zgodności przypisać do których grup skanowania. Wygenerowane raporty są dostępne w formacie Excel.

Reguły bezpieczeństwa (Security Rules)

Bitdefender GravityZone CSPM+ zawiera blisko 400 reguł dostępnych dla wszystkich dostawców chmury. Reguły to kontrole przeprowadzane w środowisku chmurowym w oparciu o międzynarodowe/lokalne standardy zgodności. Obejmują nie tylko reguły takie jak: „RDS instance encryption not enabled”, „IAM Password policy”, „Compute Instance Configured with External IP”, ale także najlepsze praktyki bezpieczeństwa.

Administrator może przeglądać i modyfikować wszystkie przypisane reguły dla poszczególnych grup skanowania w menu Konfiguracja skanowania. Pozwala to dostosować politykę bezpieczeństwa dla każdego konta, wyłączając reguły, które mogą nie być istotne dla mniej krytycznych środowisk (np. testowych lub kopii zapasowych), oraz zmieniając poziom ważności.

Konfiguracja reguł w Bitdefender GravityZone CSPM+

Reguły monitorują wszystkie zintegrowane środowiska wielo- i hybrydowo-chmurowe, konsolidując wyniki w jednym panelu dostępnym dla zespołów bezpieczeństwa w sekcji Rules.

Wyniki bezpieczeństwa reguł w Bitdefender GravityZone CSPM+

Administratorzy mogą wyszukiwać krytyczne i wysokopriorytetowe wyniki, zgodność, oceny, IAM i typy zasobów, korzystając z wbudowanych filtrów, aby ustalić priorytety zadań.

Po wybraniu reguły sekcja Check Details dostarcza administratorowi informacji o: wyniku reguły (Pass/Fail), dotkniętych zasobach, rekomendacjach. Zawiera również poziom ważności (krytyczny, wysoki, średni, niski) oraz szczegółowy opis wyjaśniający znaczenie wyniku – niezależnie od wiedzy o chmurze lub bezpieczeństwie. Dzięki temu administrator może zdecydować, czy remediacja jest konieczna.Jeśli problem nie wymaga natychmiastowej naprawy, administrator może zaakceptować ryzyko i wyciszyć wyniki na 3 lub 6 miesięcy, dodając uzasadnienie na potrzeby przyszłych audytów zgodności.

Wyniki bezpieczeństwa i logi (Security Findings and Logs)

Aby rozwiązać problemy, zespoły bezpieczeństwa współpracują z developerami, DevOps i infrastrukturą. Integracja pozwala eksportować wyniki z Rules do narzędzi ticketingowych (np. JIRA). Eksport zawiera: tytuł reguły, konto, ważność, typ zasobu, instrukcje remediacji ręcznej (opisane w dalszej części), możliwość dodania komentarza. Oznacza to, że inżynierowie bezpieczeństwa nie muszą logować się do platformy CSPM+, aby zobaczyć te wyniki i podjąć działania. Kontekst problemów trafia bezpośrednio do ich workflow.

Remediacja

GravityZone CSPM+ nie tylko ostrzega o problemie, ale także dostarcza instrukcji jak go rozwiązać. Jest to kluczowe, ponieważ naszym celem jest zapewnienie, że administrator może podjąć natychmiastowe działania w oparciu o informacje z konsoli. 

Dla każdego znaleziska administrator ma do dyspozycji ręczne środki zaradcze. Dodatkowo, w zależności od dostawcy chmury i rodzaju problemu, mają do dyspozycji Terraform i Playbook Code.

Remediacja ręczna

Remediacja ręczna dostarcza administratorowi instrukcje krok po kroku, jak ręcznie rozwiązać problemy z zasobami w chmurze. Aby sprawdzić, czy wszystkie zmiany zostały wprowadzone poprawnie, administrator może uruchomić skanowanie na żądanie.

Remediacja Terraform

Administrator ma do dyspozycji przykład kodu Terraform, wykorzystujący język konfiguracji do zarządzania infrastrukturą. Dostosowując konfigurację w podanym przykładzie i ponownie wdrażając szablon, administrator może naprawić zidentyfikowane problemy.

Playbook Code

W Playbook Code administrator otrzymuje kod JavaScript (node.js) napisany przez nas i automatycznie generowany przez platformę. Kod może zostać przejrzany przez administratora, a po zalogowaniu się do swojego dostawcy zabezpieczeń chmury z odpowiednimi uprawnieniami, może po prostu skopiować kod z Bitdefender GravityZone CSPM+ i wkleić go do interfejsu CLI swojej chmury, aby naprawić wykryte problemy.

Warto zaznaczyć, że uruchomienie Playbook Code może zmodyfikować, a w niektórych przypadkach usunąć zasoby z konta chmurowego.

Inwentarz zasobów

Inwentarz zasobów zapewnia przegląd listy zasobów w różnych chmurach i kontach, które zostały zintegrowane. Składa się z dwóch głównych elementów. Zasoby oferują przegląd wszystkich wykrytych zasobów we wszystkich zintegrowanych kontach chmurowych, a Tożsamości zapewniają przegląd różnych typów tożsamości, w tym użytkowników, ról, grup i kont usługowych. Śledząc Zasoby i Tożsamości, administratorzy mogą sprawdzić, kto ma dostęp do jakich zasobów i zidentyfikować potencjalne ryzyka bezpieczeństwa związane z konkretnymi tożsamościami.

Zasoby

Widok Zasobów zapewnia wgląd w stan zgodności na poziomie zasobów chmurowych. Przykłady zasobów obejmują CloudFront Distribution, EC2 Instance dla AWS oraz Cloud SQL Instance i Compute Instance dla GCP. Po wybraniu zasobów widok rozszerza się do listy wszystkich reguł, które mają zastosowanie do tych zasobów, wraz z informacją, czy kontrole zakończyły się powodzeniem, czy niepowodzeniem.

Bitdefender GravityZone CSPM+ sekcja Zasoby

Tożsamości

Zakładka Tożsamości zapewnia przegląd różnych typów tożsamości: użytkowników, ról, grup i kont usługowych. Administratorzy mogą filtrować według IAM User, IAM Role, IAM Group i IAM Service Account.

Bitdefender GravityZone CSPM+ sekcja Tożsamości

Po kliknięciu dowolnej tożsamości zostanie wyświetlone okienko szczegółów z informacjami o zasobach, przypisanych politykach, wrażliwym dostępie, zakresie i uprawnieniach.

Bitdefender GravityZone CSPM+ szczegóły Tożsamości

Graf dostępu

Graf dostępu oferuje szczegółowy widok ścieżek dostępu od tożsamości do zasobów w infrastrukturze chmurowej. Przedstawia relacje i połączenia między tożsamościami (takimi jak użytkownicy, role, grupy i konta usługowe) a powiązanymi zasobami, aby zrozumieć, jak są skonstruowane uprawnienia i kto lub co ma dostęp do konkretnych zasobów.

Bitdefender GravityZone CSPM+ graf dostępu

Graf jest automatycznie aktualizowany przy każdym skanowaniu i nie wymaga dodatkowych kroków konfiguracyjnych.

Podsumowanie

Bitdefender GravityZone CSPM+ to kompleksowe rozwiązanie do zarządzania stanem bezpieczeństwa chmury, zaprojektowane, aby pomóc organizacjom zarządzać ryzykami bezpieczeństwa i zgodności w różnych środowiskach chmurowych. Integracja z AWS, GCP i Azure pozwala administratorom na pełną widoczność zasobów i tożsamości w chmurze. Ciągłe kontrole bezpieczeństwa, monitorowanie zgodności i opcje remediacji są zapewnione, aby zagwarantować bezpieczne konfiguracje zasobów chmurowych, przezwyciężając złożoność i skupiając się na zwiększaniu produktywności zespołu bezpieczeństwa.