અહેવાલ ચેતવણી આપે છે કે લાંબા ગાળાના ઓળખપત્રો એક મહત્વપૂર્ણ સુરક્ષા જોખમ રહે છે, જૂની એક્સેસ કી ક્લાઉડ પ્લેટફોર્મ પર નબળાઈમાં વધારો કરે છે, સ્વયંસંચાલિત ઓળખપત્ર સંચાલન ક્લાઉડ સુરક્ષા માટે નિર્ણાયક છે
જેમ જેમ ક્લાઉડ કમ્પ્યુટિંગ અપનાવવાનું ચાલુ રહે છે, સંસ્થાઓ એમેઝોન વેબ સર્વિસીસ (AWS), Microsoft Azure અને Google Cloud જેવા પ્લેટફોર્મ્સ પર તેમના ઈન્ફ્રાસ્ટ્રક્ચર અને સેવાઓ માટે વધુને વધુ આધાર રાખે છે, જો કે, આનો અર્થ એ છે કે તેમના સુરક્ષા જોખમો પણ વધુ જટિલ બને છે.
તાજેતરના ડેટાડોગ સ્ટેટ ઓફ ક્લાઉડ સિક્યોરિટી 2024 રિપોર્ટમાં એક ખાસ કરીને સંબંધિત મુદ્દાને છતી કરવામાં આવ્યો છે – લાંબા સમયથી ચાલતા ઓળખપત્રોનો ઉપયોગ, જે તમામ મુખ્ય ક્લાઉડ પ્રદાતાઓમાં નોંધપાત્ર સુરક્ષા જોખમો પેદા કરે છે.
ક્લાઉડ સિક્યોરિટી ટૂલ્સ અને પ્રેક્ટિસમાં પ્રગતિ હોવા છતાં, ઘણી સંસ્થાઓ હજી પણ લાંબા સમયથી ચાલતા ઓળખપત્રોનો ઉપયોગ કરે છે, જે આપમેળે સમાપ્ત થતા નથી.
દીર્ઘકાલીન ઓળખપત્રોનો વ્યાપ
લાંબા ગાળાના ઓળખપત્રો, ખાસ કરીને જે હવે સક્રિય રીતે સંચાલિત નથી, હુમલાખોરો માટે સરળ લક્ષ્ય તરીકે સેવા આપી શકે છે. જો લીક અથવા ચેડા કરવામાં આવે, તો તેઓ સંવેદનશીલ ડેટા અથવા સિસ્ટમ્સની અનધિકૃત ઍક્સેસ પ્રદાન કરી શકે છે. આ ઓળખપત્રો જેટલા લાંબા સમય સુધી પરિભ્રમણ અથવા દેખરેખ વિના સ્થાને રહેશે, સુરક્ષા ભંગનું જોખમ વધારે છે.
ડેટાડોગનો અહેવાલ દર્શાવે છે કે લગભગ અડધી (46%) સંસ્થાઓ પાસે હજુ પણ લાંબા સમયથી ચાલતા ઓળખપત્રો સાથે અવ્યવસ્થિત વપરાશકર્તાઓ છે. આ ઓળખપત્રો ખાસ કરીને સમસ્યારૂપ છે કારણ કે તે ઘણીવાર વિવિધ સંપત્તિઓ જેમ કે સ્રોત કોડ, કન્ટેનર છબીઓ અને બિલ્ડ લોગમાં એમ્બેડ કરવામાં આવે છે. જો આ ઓળખપત્રો યોગ્ય રીતે સંચાલિત ન હોય, તો તે સરળતાથી લીક થઈ શકે છે અથવા ખુલ્લા થઈ શકે છે, જે હુમલાખોરોને જટિલ સિસ્ટમ્સ અને ડેટાને ઍક્સેસ કરવા માટે પ્રવેશ બિંદુ પ્રદાન કરે છે.
લગભગ બે-તૃતીયાંશ 62% Google ક્લાઉડ સર્વિસ એકાઉન્ટ્સ, 60% AWS આઇડેન્ટિટી એન્ડ એક્સેસ મેનેજમેન્ટ (IAM) વપરાશકર્તાઓ અને 46% Microsoft Entra ID એપ્લિકેશન્સ પાસે એક વર્ષથી વધુ જૂની એક્સેસ કી છે.
આ જોખમોના જવાબમાં, ક્લાઉડ પ્રદાતાઓ સુરક્ષામાં સુધારો કરવા તરફ આગળ વધી રહ્યા છે. ડેટાડોગનો અહેવાલ નોંધે છે કે ક્લાઉડ ગાર્ડરેલ્સ અપનાવવાનું પ્રમાણ વધી રહ્યું છે. આ રક્ષકો સ્વયંસંચાલિત નિયમો અથવા ગોઠવણીઓ છે જે સુરક્ષાની શ્રેષ્ઠ પ્રથાઓને લાગુ કરવા અને માનવીય ભૂલને રોકવા માટે રચાયેલ છે.
દાખલા તરીકે, Amazon S3 બકેટના 79%માં હવે એકાઉન્ટ-વાઇડ અથવા બકેટ-વિશિષ્ટ પબ્લિક એક્સેસ બ્લોક્સ સક્ષમ છે, જે અગાઉના વર્ષના 73% હતા. જો કે, જ્યારે આ સક્રિય પગલાં યોગ્ય દિશામાં એક પગલું છે, લાંબા ગાળાના ઓળખપત્રો ક્લાઉડ સુરક્ષા પ્રયાસોમાં એક મુખ્ય અંધ સ્થાન છે.
વધુમાં, અહેવાલમાં ઉમેરવામાં આવ્યું છે કે અતિશય અનુમતિજનક રૂપરેખાંકનો સાથે ક્લાઉડ સંસાધનોની નોંધપાત્ર સંખ્યા છે.
લગભગ 18% AWS EC2 દાખલાઓ અને 33% Google Cloud VM ને સંવેદનશીલ પરવાનગીઓ હોવાનું જણાયું હતું જે સંભવિતપણે હુમલાખોરને પર્યાવરણ સાથે ચેડા કરવાની મંજૂરી આપી શકે છે. એવા કિસ્સાઓમાં કે જ્યાં ક્લાઉડ વર્કલોડનો ભંગ થાય છે, આ સંવેદનશીલ પરવાનગીઓનો ઉપયોગ સંકળાયેલ ઓળખપત્રો ચોરી કરવા માટે થઈ શકે છે, હુમલાખોરોને વ્યાપક ક્લાઉડ પર્યાવરણને ઍક્સેસ કરવામાં સક્ષમ બનાવે છે.
વધુમાં, તૃતીય-પક્ષ સંકલનનું જોખમ છે, જે આધુનિક ક્લાઉડ વાતાવરણમાં સામાન્ય છે. રિપોર્ટમાં તપાસવામાં આવેલ 10% થી વધુ તૃતીય-પક્ષ સંકલનને જોખમી ક્લાઉડ પરવાનગીઓ હોવાનું જણાયું હતું, જે સંભવિતપણે વિક્રેતાને સંવેદનશીલ ડેટાને ઍક્સેસ કરવાની અથવા સમગ્ર AWS એકાઉન્ટને નિયંત્રણમાં લેવાની મંજૂરી આપે છે.
વધુ શું છે, આ તૃતીય-પક્ષની ભૂમિકાઓમાંથી 2% બાહ્ય IDs ના ઉપયોગને લાગુ કરતી નથી, જે તેમને “કન્ફ્યુઝ્ડ ડેપ્યુટી” હુમલા માટે સંવેદનશીલ બનાવે છે, એક દૃશ્ય જ્યાં હુમલાખોર અણધારી ક્રિયાઓ કરવા માટે તેના વિશેષાધિકારોનો ઉપયોગ કરવા માટે સેવાની છેતરપિંડી કરે છે.
“સ્ટેટ ઓફ ક્લાઉડ સિક્યુરિટી 2024 ના તારણો સૂચવે છે કે લાંબા સમય સુધી જીવતા ઓળખપત્રોને સુરક્ષિત રીતે સંચાલિત કરી શકાય તેવી અપેક્ષા રાખવી અવાસ્તવિક છે,” ડેટાડોગ ખાતે સુરક્ષા હિમાયતના વડા એન્ડ્રુ ક્રુગે જણાવ્યું હતું.
“લાંબા સમયના ઓળખપત્રો એક મોટું જોખમ હોવા ઉપરાંત, અહેવાલમાં જાણવા મળ્યું છે કે મોટાભાગની ક્લાઉડ સુરક્ષા ઘટનાઓ ચેડા કરાયેલ ઓળખપત્રોને કારણે થાય છે. પોતાની જાતને બચાવવા માટે, કંપનીઓએ આધુનિક પ્રમાણીકરણ મિકેનિઝમ્સ સાથે ઓળખ સુરક્ષિત કરવાની જરૂર છે, અલ્પજીવી ઓળખપત્રનો લાભ મેળવવો અને હુમલાખોરો સામાન્ય રીતે ઉપયોગ કરે છે તેવા API માં ફેરફારોને સક્રિયપણે મોનિટર કરવાની જરૂર છે,” ક્રુગે ઉમેર્યું.