Jak Atlassian wdraża najlepsze praktyki w swojej infrastrukturze chmurowej

Prawie wszystkie nasze konta AWS są skanowane co godzinę, a wyniki są zgłaszane zespołowi ds. bezpieczeństwa. Aby umożliwić naszym programistom szybkie działanie i usuwanie zabezpieczeń jako strażnik, nie zatrzymaliśmy się na tym. Zamiast tego zintegrowaliśmy rozwiązanie Cloud One – Conformity z naszą siecią luk w zabezpieczeniach, w której Jira zgłasza wszelkie odkrycia, które odkryliśmy za pomocą tych skanów. Nasi programiści żyją i oddychają Jirą każdego dnia, więc przedstawianie tych informacji jest dla nich o wiele bardziej naturalne niż szukanie tych wyników w narzędziu zewnętrznym lub potrzeba zapewnienia bezpieczeństwa jako pośrednika.

Każdy, kto kiedykolwiek próbował wdrożyć skaner bezpieczeństwa w organizacji, wie, że nigdy nie jest zapomniany. Zamiast tego wymagają precyzyjnego dostrajania, aby mieć pewność, że osiągają tylko znaczące wyniki. Każde środowisko przedsiębiorstwa jest inne, a szczególnie w skali, istnieją przypadki brzegowe, których skanery nie spodziewają się. Na przykład nasz wewnętrzny system PaaS egzekwuje zestaw najlepszych praktyk opracowanych we współpracy z zespołem ds. bezpieczeństwa. Niektóre konfiguracje, które wynikają z tego faktu, są w tym kontekście bezpieczne, ale skaner będzie nadal je raportować, ponieważ na ogół nie. W rezultacie poświęciliśmy trochę czasu na udoskonalanie zestawu reguł, na których nam zależy.

W pierwszej wersji zdecydowaliśmy się skupić na naszych najbardziej zaawansowanych kontach AWS. Konta te przechowują dane naszych klientów lub zarządzają naszą infrastrukturą, na przykład CI/CD. Ponadto zawęziliśmy początkowy zestaw zasad do tych, które uważamy za bardzo dotkliwe. Następnie poświęciliśmy trochę czasu na bliską współpracę z tymi zespołami, które są właścicielami tych ważnych kont AWS, aby zapewnić, że wszystkie wyniki przyniosą znaczące korzyści w zakresie bezpieczeństwa. W oparciu o te informacje zwrotne dostosowaliśmy konfigurację naszych zasad, aby pasowały bezpośrednio do naszej organizacji. Tylko dla tego podzbioru kont i zasad tworzymy bilety Jira, ponieważ zweryfikowaliśmy jakość tych wyników.

Kolejna iteracja już się rozpoczęła i rozszerza zakres kont tworzonych z biletami Jira, a także zawiera więcej reguł, które są weryfikowane. Ostatecznie wszystkie nasze konta AWS będą objęte naszą umową SLA dotyczącą bezpieczeństwa, a każda kontrola zostanie sprawdzona i skonfigurowana zgodnie z specyfiką naszego środowiska.

Kontynuujemy również ścisłą współpracę z zespołem ds. zgodności, który reaguje na nasze opinie i szybko naprawia wszelkie błędy, które odkryjemy w ich produktach. Doskonale wpisują nasze prośby o funkcje do planu działania i zawsze informują nas, kiedy rozpoczyna się praca nad wszystkim, na czym nam zależy. W ten sposób stale zwiększamy wartość, jaką zapewnia nam ich usługa, co bezpośrednio przekłada się na stale rosnącą postawę bezpieczeństwa.

Kiedy badacz ds. bezpieczeństwa „benmap”  zaprezentował  niedawno na DEF CON 27, społeczność dowiedziała się, jak podatne na zagrożenia publiczne ilości EBS mogą opuścić firmę, przypominając wszystkim, że nie tylko zasobniki S3 mogą zostać upublicznione i zawierać wrażliwe informacje. Oczywiście badaliśmy nasze własne środowisko pod kątem takich publicznych ilości. Ponieważ Conformity już aktywnie skanuje wszystkie nasze konta, byliśmy w stanie przeprowadzić szybkie dochodzenie, które dało pełny obraz wszystkich publicznych wolumenów i szybko potwierdzić, że żaden z nich nie zawierał żadnych informacji wrażliwych. Ponadto będziemy powiadamiani o wszelkich przyszłych upublicznionych ilościach i możemy zapewnić, że nie będziemy ujawniać za ich pośrednictwem żadnych wrażliwych informacji.

Pomocnym skutkiem ubocznym tych skanów jest zmuszanie zespołów do wejścia do własnych środowisk i oczyszczenia wszelkich nieaktualnych zasobów pozostałych z eksperymentów rozwojowych. Atlassian umożliwia naszym programistom szybką iterację, testowanie nowych funkcji i wprowadzanie innowacji w naszych usługach. Jako zespół ds. bezpieczeństwa jesteśmy odpowiedzialni za zapewnienie, że eksperymenty te odbywają się w odpowiednim środowisku i w sposób, który nie naraża danych klientów na ryzyko. Częścią tego obowiązku jest upewnienie się, że niewykorzystane zasoby są sprzątane, a Conformity pomaga nam to osiągnąć. Informujemy programistów o zasobach z niezabezpieczonymi konfiguracjami i czasami zdajemy sobie sprawę, że nie potrzebują już tych zasobów i usuwamy je.