В современную эпоху облачные технологии занимают важнейшее место в IT-инфраструктуре организаций. Одним из ключевых аспектов обеспечения безопасности в облаке является защита конфиденциальных данных, среди которых особенно опасны утечки секретных ключей и учетных данных. В последние годы вопросы безопасности публичных образов виртуальных машин получили большое внимание исследователей, так как неправильно сконфигурированные или скомпрометированные образы могут стать причиной серьезных утечек данных и нарушений систем. В центре внимания находится анализ публичных образов на таких облачных платформах как Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform (GCP). Исследование последних лет выявило масштабные проблемы с утечками секретов в образах AWS и Azure, но совершенно иной картиной отличается Google Cloud Platform.
Раскрытие причин и особенностей этого феномена становится важным этапом понимания современных реалий безопасности в облачных экосистемах. Несмотря на то, что принципы работы облаков во многом схожи, различия в управлении публичными образами существенно влияют на уровень их безопасности. В случае AWS любой пользователь может выставить готовый образ виртуальной машины в публичный доступ, что приводит к большому количеству образов — свыше трёх миллионов открытых AMI (Amazon Machine Images). Такая открытость выставляет облако под удар — многие из этих образов содержат конфиденциальные данные, в том числе ключи доступа и API-токены. Аналогичные исследования, проведённые для Microsoft Azure, показали меньшее количество публичных образов, но и там были выявлены значимые утечки, включая административные ключи AWS и персональные токены GitHub.
В отличие от этих двух гигантов, Google Cloud Platform придерживается значительно более строгой политики публикации образов. В GCP публиковать образы могут только утверждённые поставщики и вендоры из маркетплейса, что кардинально снижает риск появления открытых образов с непроверенным содержанием. Эта политика сильно ограничивает количество доступных публичных образов — всего порядка восьми тысяч, что почти в триста раз меньше, чем в AWS. Такое ограничение, как показало исследование экспертов Эдуарда Агаврилоаэ и Матея Джозефса, позволило практически исключить риск утечки секретов в публичных образах. Методология исследования была тщательной и основана на предыдущих работах, связанных с AWS и Azure.
Использовался комплексный подход, включающий автоматизированный сбор метаданных публичных образов, создание виртуальных дисков из каждого из них, последующее монтирование и целенаправленный поиск файлов по расширениям, характерным для секретных данных и конфигурации. При этом применялся список из 150 наиболее распространённых расширений, таких как .env, .config, файлы в папках .ssh и .
aws, конфигурационные файлы баз данных и другие. Этот подход позволил избежать излишней нагрузки на систему и сосредоточиться именно на потенциально чувствительной информации. Технически весь процесс был автоматизирован с помощью Python-скрипта, взаимодействующего с Google Cloud Compute API для создания, подключения и удаление дисков на основе публичных образов. Для монтирования и анализа файлов использовались bash-скрипты с поддержкой различных файловых систем, что обеспечило детальный доступ к содержимому образов. Далее извлечённые файлы загружались в облачное хранилище для последующего глубокого анализа программой TruffleHog — инструментом, специально разработанным для обнаружения секретных данных в кодовой базе и конфигурационных файлах.
Результаты шокировали исследователей: по результатам анализа свыше восьми тысяч публичных образов GCP и почти 150 миллионов извлечённых файлов общим объёмом более сотни гигабайт, не было выявлено ни одного секретного ключа, токена или иной конфиденциальной информации. Возникает закономерное удивление, так как предыдущие исследования аналогичных облачных провайдеров AWS и Azure находили сотни и даже тысячи таких уязвимостей. Один из возможных выводов — строгие процедуры верификации и проверки публикуемых образов играют решающую роль в обеспечении безопасности платформы. Анализ состава образов выявил большое разнообразие технологий, используемых в Google Cloud Platform. Наиболее распространёнными оказались системы и сервисы, связанные с systemd, SSL/TLS, shell-скриптами, веб-технологиями, Python, SSH-сервисами, базами данных, включая MySQL, MariaDB и PostgreSQL, а также языками программирования C и C++.
Это указывает на то, что образы охватывают широкий спектр применений — от инфраструктурных до прикладных решений. Интересна также расширенная картина форматов файлов и их плотности в образах. Такие расширения как .file, .xz, .
dirtree и другие встречаются в огромном количестве, что может свидетельствовать о высокой степени сжатия и структурированности данных внутри образов. Размеры образов варьировались от относительно небольших — порядка тысячи файлов, до обширных систем с десятками тысяч файлов. Одним из ограничений исследования стало исключение платных образов из-за финансовых ограничений. Именно такие коммерческие образы, как предполагается, могут обладать иными характеристиками и содержать другую информацию, что требует дальнейшего изучения. При этом следует подчеркнуть, что ограничение директив маркетплейса и жёсткая проверка контента создают устойчивый барьер для случайной или преднамеренной утечки секретных данных.
Обзор трёх крупнейших облачных провайдеров — AWS, Azure и Google Cloud Platform — демонстрирует чёткую зависимость уровня безопасности публичных образов от политики публикации. Amazon предлагает самый открытый и массовый рынок публичных образов, что несёт в себе повышенные риски. Microsoft в свою очередь применяет более жёсткие ограничения, но всё ещё выявляются уязвимости. GCP же выступает образцом верификации и эскалации контроля, позволяя практически исключить нарушения безопасности на уровне публичных образов. Полученные результаты подчёркивают значимость выбора стратегий управления контентом в облачных маркетплейсах с точки зрения безопасности.
Внедрение политик проверки и ограничения прав доступа на публикацию образов помогает снизить риск серьезных утечек и защитить пользователей платформы. Пример GCP может послужить ориентиром для других провайдеров и корпоративных заказчиков, стремящихся к минимизации угроз на уровне инфраструктуры. Немаловажен и сам инструмент TruffleHog, способный выявлять сложные и скрытые секреты в коде и конфигурациях. Его использование многократно увеличивает вероятность своевременного обнаружения уязвимостей. Open-source характер инструмента делает его доступным не только коммерческим компаниям, но и исследовательским группам и энтузиастам.
В итоге, анализ публичных образов Google Cloud Platform позволяет сделать вывод о высокой степени защищённости и обоснованности выбранного подхода к публикации. Отсутствие утечек секретов, выявленное при масштабном исследовании, подтверждает эффективность мер проекта и важность постоянного мониторинга и совершенствования процессов безопасности в облачных средах. Тем не менее, важно понимать, что безопасность облака — это комплексный процесс, включающий множество уровней и стадий. Отдельная безопасность образов не устраняет необходимости в комплексной защите данных, правильной настройки прав доступа, своевременном обновлении и аудите системы в целом. Результаты исследования также подчёркивают необходимость регулярных проверок и анализа для своевременного выявления и устранения новых угроз.
Развитие облачных технологий требует от всех участников отрасли постоянного поиска баланса между удобством и безопасностью. Жёсткие политики публикации, как в GCP, демонстрируют, что безопасность не обязательно должна ограничивать возможности пользователей, а скорее может стать гарантией доверия и качества сервиса. Для пользователей, желающих избежать рисков, связанных с неконтролируемыми публичными образами, опыт Google Cloud Platform служит наглядным примером. Исследование также открывает перспективы для дальнейших работ, включая анализ коммерческих и кастомизированных образов, а также возможное расширение спектра используемых методов сканирования. Поддержка и развитие open-source инструментов, таких как TruffleHog, остаются ключевым элементом в борьбе с утечками секретов и повышении общей безопасности цифровых инфраструктур.
В заключение стоит подчеркнуть, что в сфере информационной безопасности отрицательные результаты так же ценны, как и положительные находки. Отсутствие утечек секретов в публичных образах Google Cloud Platform не только демонстрирует эффективность текущих процессов, но и служит ориентиром для развития всей отрасли. Постоянное внимание к вопросам безопасности и совершенствование процессов публикации и валидации образов остаются важнейшими задачами на пути к надежному и защищенному облачному будущему.
