Viktorija Šaulytė vadovauja technologijų komandai e. prekybos įmonėje, kuri 2023 metais nusprendė pilnai pereiti iš dedikuotų serverių į AWS. Ji buvo tikra, kad viskas gerai apgalvota. Klydo.
Migracija prasidėjo sklandžiai. Tačiau po trijų savaičių saugumo skenavimas parodė, kad keli S3 kibiro objektai buvo viešai prieinami. Niekas to nesukonfigūravo tyčia, tai tiesiog buvo numatytoji būsena senesnėje SDK versijoje.
Pirmas rimtas patikrinimas
Viktorijos komanda naudojo Prowler įrankį, kad nuskenuotų visą AWS aplinką. Rezultatai parodė 34 konfigūracijos problemas, iš kurių 6 buvo žymėtos kaip kritiškos.
Didžiausia problema buvo per plačios IAM rolės. Keli Lambda funkcijų vykdytojai turėjo AdministratorAccess teises, nors jiems reikėjo tik vienos konkrečios DynamoDB lentelės prieigos.
Kaip buvo sprendžiama
Komanda per dvi savaites perėjo prie mažiausių privilegijų principo. Kiekvienai Lambda funkcijai buvo sukurta atskira IAM rolė su tiksliai apibrėžtomis teisėmis naudojant IAM Access Analyzer rekomendacijas.
Viktorija sako, kad skausmingiausias žingsnis buvo perrašyti visų mikropaslaugų konfigūracijas, nes keli kūrėjai buvo įpratę prie platesnių prieigų ir nebuvo patenkinti naujais apribojimais.
Dabar jie naudoja automatizuotą saugumo patikrą kiekvienam pull request. Ne todėl, kad būtų nutikęs incidentas, o todėl, kad nori žinoti problemą prieš jai tampant incidentu.