AWS to stabilna i bezpieczna chmura. O jej bezpieczeństwo musi dbać jednak nie tylko sam dostawca, ale też jej użytkownik, czyli Ty! Przypadkowy wyciek kluczy czy dostęp nieautoryzowanych osób to gotowy przepis na szkody zarówno w wymiarze technologicznym, jak i biznesowym. Jak podejść do tego tematu? Zobacz, w jaki sposób do sprawy podeszła firma Riot Games.
Bezpieczeństwo z AWS STS. Case studies Riot Games
3 minuty czytania
AWS to stabilna i bezpieczna chmura. O jej bezpieczeństwo musi dbać jednak nie tylko sam dostawca, ale też jej użytkownik, czyli Ty! Przypadkowy wyciek kluczy czy dostęp nieautoryzowanych osób to gotowy przepis na szkody zarówno w wymiarze technologicznym, jak i biznesowym. Jak podejść do tego tematu? Zobacz, w jaki sposób do sprawy podeszła firma Riot Games.
Riot Games to studio produkujące gry komputerowe z siedzibą w Los Angeles. Tego typu biznes zdecydowanie wymaga odpowiednich zabezpieczeń IT. Początkowo firma używała jedynie permamentnych kluczy dostępu do AWS. Takie rozwiązanie jest zdecydowanie najwygodniejsze. Raz wpisujesz dane i po sprawie. Ma ono jednak znaczące wady, o czym Riot Games przekonało się na własnej skórze.
4 godziny grozy
Pewnego razu jeden z inżynierów Riot Games przypadkowo wpisał klucz dostępu bezpośrednio do kodu. Potem na swoim personalnym GitHub’ie upublicznił go w repozytorium. Klucz ten dawał nieuprawnionym osobom dostęp do infrastruktury firmy przez 4 godziny!
Zanim Riot Games zorientował się i naprawił swój błąd, już pojawiły się szkody. Przez wspomniane 4 godziny nieautoryzowany użytkownik użył aż 1283 AWS spotów do kopania bitcoina!
Nie ważne czy firma jest mała, czy duża. Tego typu braki w zabezpieczeniach zawsze pociągają za sobą konsekwencje. W przypadku Riot Games mogły być one zdecydowanie poważniejsze – zarówno w wypadku, gdyby klucz był publicznie dostępny przez dłuższy czas, jak i gdyby nieproszony gość zdecydował się na poważniejsze ruchy niż kopanie kryptowaluty.
AWS STS jako zabezpieczenie kluczy dostępów
W jaki prosty sposób można w pierwszej kolejności zabezpieczyć swoją infrastrukturę? Używają AWS STS. To usługa, która pozwala na tworzenie kluczy tymczasowych dla użytkowników AWS IAM aktywnych od 1 do 12 godzin.
Riot Games poszedł o krok dalej i wykorzystał tę usługę do stworzenia własnego narzędzia: Key Conjurer.
Ma ono dwie wersje, zarówno w przeglądarce jak i w konsoli. Po dwuetapowej weryfikacji daje klucze dostępu aktywne przez wybrany czas. Dzięki temu rozwiązaniu, developer nie musi martwić się, że nieumyślnie doprowadzi do wycieku kluczy. Po wybranym okresie czasu staną się one po prostu nieaktywne.
Skuteczne i tanie
Riot Games po wprowadzeniu Key Conjurer zredukował ilość permanentnych kluczy do minimum. W 2018 roku redukcja ta wynosiła aż 72.8% (z 853 do 232 kluczy permanentnych). Obecnie pracownicy do wprowadzania zmian korzystają głównie z kluczy tymczasowych, zwiększając tym samym bezpieczeństwo infrastruktury. Na dodatek takie rozwiązanie jest również tanie (serverless).
Jeśli chcesz wykorzystać podobne rozwiązanie w swojej firmie, od 2019 roku Key Conjurer jest publicznie dostępny i stale aktualizowany. W Welastic możemy Ci także pomóc zwiększyć bezpieczeństwo infrastruktury AWS z wykorzystaniem AWS STS i naszych sprawdzonych procesów zarządzania infrastrukturą.
