Wie Atlassian Best Practices in seiner Cloud- Infrastruktur durchsetzt

Fast alle AWS-Konten werden stündlich gescannt und die Ergebnisse werden dem Sicherheitsteam gemeldet. Um es unseren Entwicklern zu ermöglichen, sich schnell zu bewegen und Sicherheit als Gatekeeper zu entfernen, haben wir dort jedoch nicht aufgehört. Stattdessen haben wir Cloud One - Conformity in unsere Schwachstellenpipeline integriert, die Jira-Tickets für alle Erkenntnisse archiviert, die wir durch diese Scans entdecken. Unsere Entwickler leben und atmen Jira Tag für Tag ein, daher ist es für sie viel natürlicher, diese Informationen hier zu veröffentlichen, als diese Ergebnisse in einem Drittanbieter-Tool suchen zu müssen oder Sicherheit als Vermittler zu benötigen.

Jeder, der schon einmal versucht hat, einen Sicherheitsscanner in einem Unternehmen einzusetzen, weiß, dass er niemals gesetzt und vergessen wird. Stattdessen ist eine Feinabstimmung erforderlich, um nur aussagekräftige Ergebnisse zu erzielen. Jede Unternehmensumgebung ist anders und insbesondere in großem Maßstab gibt es Edge-Fälle, die Scanner nicht erwarten würden. Beispielsweise setzt unser internes PaaS eine Reihe von Best Practices durch, die in Zusammenarbeit mit dem Sicherheitsteam entwickelt wurden. Einige der Konfigurationen, die sich daraus ergeben, sind in diesem Kontext sicher, aber der Scanner meldet sie immer noch, da sie es im Allgemeinen nicht sind. Daher haben wir einige Zeit damit verbracht, die Regeln, die uns wichtig sind, zu verfeinern.

In unserer ersten Iteration entschieden wir uns, uns auf unsere AWS-Konten mit dem höchsten Schweregrad zu konzentrieren. Diese Konten speichern die Daten unserer Kunden oder verwalten unsere Infrastruktur, zum Beispiel unsere CI/CD. Darüber hinaus haben wir den anfänglichen Regelsatz auf diejenigen eingegrenzt, die wir für einen hohen Schweregrad halten. Wir haben dann einige Zeit eng mit den Teams zusammengearbeitet, die diese wichtigen AWS-Konten besitzen, um sicherzustellen, dass alle Ergebnisse einen bedeutenden Sicherheitsvorteil bieten. Basierend auf diesem Feedback haben wir die Konfiguration unserer Regeln angepasst, damit sie genau in unser Unternehmen passen. Nur für diese Untergruppe von Konten und Regeln erstellen wir Jira-Tickets, da wir die Qualität dieser Ergebnisse überprüft haben.

Die nächste Iteration hat bereits begonnen und erweitert den Umfang von Konten, in denen Jira-Tickets erstellt wurden und weitere Regeln enthalten sind, die überprüft werden. Letztendlich werden alle unsere AWS-Konten unserem Sicherheits-SLA unterliegen und jede Überprüfung wurde überprüft und entsprechend den Besonderheiten unserer Umgebung konfiguriert.

Wir arbeiten auch weiterhin eng mit dem Conformity-Team zusammen, das auf unser Feedback reagiert und alle Fehler, die wir in ihrem Produkt entdecken, schnell beseitigt. Sie sind großartig darin, unsere Feature-Anfragen in ihre Roadmap aufzunehmen und halten uns immer auf dem Laufenden, wenn die Arbeit mit allem beginnt, was uns wichtig ist. Auf diese Weise erhöhen wir den Wert, den uns ihr Service bietet, was sich direkt in einer ständig wachsenden Sicherheitslage niederschlägt.

Als der Sicherheitsforscher kürzlich auf der DEF CON 27 präsentierte , erfuhr die Community, wie gefährdet öffentliche EBS-Volumen ein Unternehmen verlassen können, und erinnerte alle daran, dass nicht nur S3-Buckets veröffentlicht werden können und sensible Informationen enthalten. Natürlich haben wir unser eigenes Umfeld auf solche öffentlichen Volumina untersucht. Da Conformity bereits aktiv alle unsere Konten gescannt hat, konnten wir eine schnelle Untersuchung durchführen, die ein vollständiges Bild aller öffentlichen Volumina lieferte, und wir konnten schnell bestätigen, dass keines davon sensible Informationen enthielt. Darüber hinaus werden wir auf zukünftige Mengen aufmerksam gemacht, die veröffentlicht werden, und können sicherstellen, dass wir keine sensiblen Informationen durch sie offenlegen.

Als hilfreiche Nebenwirkung bieten diese Scans eine forcierende Funktion für Teams, in ihre eigenen Umgebungen zu gehen und veraltete Ressourcen, die von Entwicklungsexperimenten übriggeblieben sind, zu beseitigen. Atlassian ermöglicht es unseren Entwicklern, schnell zu iterieren, neue Funktionen auszuprobieren und Innovationen bei unseren Diensten zu entwickeln. Als Sicherheitsteam sind wir dafür verantwortlich, sicherzustellen, dass diese Experimente in einer geeigneten Umgebung und auf eine Weise stattfinden, die Kundendaten nicht gefährdet. Teil dieser Verantwortung ist es, sicherzustellen, dass ungenutzte Ressourcen aufgeräumt werden, und Konformität hilft uns dabei. Wir benachrichtigen Entwickler über Ressourcen mit unsicheren Konfigurationen und manchmal stellen Entwickler fest, dass sie diese Ressourcen nicht mehr benötigen und löschen sie.