扫一扫
关注微信公众号

多云环境下管控系统ID的五种手段
2022-01-20   安全牛


  云端自动化的广泛采用,意味着系统ID数量的增长速度是人类用户的两倍。因为,在多云环境下,越权(over-privileged)的系统ID可以更快、更高效地执行从运行脚本到修补漏洞的各项任务,而且其犯的错误比人类用户少。虽然系统ID可以快速无误地完成任务并提高生产力,但这种跨不同云应用程序的广泛使用,使组织很难获得对系统ID的可见性,及强制执行最低权限访问。这就是为什么跨云管控系统ID和实施机密管理至关重要的原因,不这么做会加大组织的攻击面,并危及业务运营。

  系统ID数量的激增,需要安全团队加强监管工作,因为了解使用哪些权限、使用多频繁以及在什么情况下使用至关重要。如果组织打算充分享用跨云自动化的好处,就必须成功地管理身份和访问。这在CloudOps团队中尤其如此,他们的工作是迅速地构建和交付产品,云构建团队为了不阻碍开发效率,会为新任务(比如应用程序动态测试)创建新的系统ID,这可能妨碍管理的可见性和用户责任制。很多时候,组织往往意识不到到云端系统ID方面的严重风险。如果组织中普遍存在系统ID访问权限过大且不受管理的情况,就会加大其攻击面和风险。一旦攻击者劫持了权限过大的身份,就可以横向移动,进而访问整个环境。

  例如,早在上世纪90年代后期,工程师就在Linux上使用服务ID来运行cronjob(计划任务),这需要运行脚本和更新报告之类的批处理任务。直到今天,人类仍依靠系统完成这些类型的任务。问题在于,在现代多云环境下,管理完成这些工作的系统要复杂得多——组织使用众多平台的数千个系统ID,使其缺乏可见性和控制度,安全团队可能不知道哪些ID执行哪些工作,因为它们是由云构建者设置的,这就大大增加了攻击者的攻击面。

  从行为的角度来看,预测与系统ID相关的活动可能很困难。毕竟,系统偶尔会出现随机行为,完成超出通常职责范围的任务。但是当安全负责人试图审核ID用户权限时,他们会发现一长串费解的可能没必要的ID。这导致危险的停滞状态。如果组织中有太多权限访问数量不明的系统ID在人为干预之外运行,会导致威胁加大。组织应设法获得跨所有云平台(IaaS、DaaS、PaaS和SaaS)的可见性,并控制系统ID的特权访问。

  理想情况下,这种管控来自单一的管理平台,授予和撤销权限就像点击按钮一样简单。至于系统ID的权限,安全团队应该像对待人一样对待系统ID,采用零常设权限(ZSP)政策——ZSP是多云安全的基准。这意味着摒弃静态权限或机密、撤销越权帐户,以及消除过时或不必要的帐户。这听起来像是复杂而艰巨的任务,却是保护云环境的必要步骤。幸好,现在有几种解决方案可以帮助组织获得可见性、实施控制以及不中断业务运营。

  降低多云环境下越权系统ID风险的五种手段

  1.对所有用户(人类和非人类)使用即时(JIT)权限访问

  无论在会话或任务持续期间、或是指定的时间段内,还是用户手动重新核查配置文件,都需要对所有用户(用户和机器ID)使用即时(JIT)权限访问,一旦任务完成,这些权限就被自动撤销。

  2.保持零常设权限

  动态添加和删除权限,使企业CloudOps团队能够保持零常设权限(ZSP)安全态势。它适用于零信任概念,意味着在默认情况下,没有任何人或设备可以一直访问企业的云帐户和数据。

  3.集中和扩展权限管理

  使用静态身份时,尽量减少散乱现象是一大挑战,如今许多CloudOps团队在努力使用Excel电子表格来手动管理ID和权限。集中式配置可以跨所有云资源自动执行这个过程,从而大大降低出错、及帐户和数据面临更大风险的可能性。

  4.借助高级数据分析(ADA)获得统一的访问可见性

  ADA使团队能够从单一管理平台跨所有平台监控整个环境,这项功能可识别每个组织特定的权限访问问题,并让负责管理数千个用户ID的安全团队能够做到心中有数。

  5.将机密管理引入到CI/CD流程中

  可以实时授予和撤销JIT机密,这在CloudOps需要启动临时服务时很理想,它自动执行通过策略来调用的共享机密轮换机制,并保护和简化入职和离职流程。

  有限的可见性阻碍了安全团队,并加剧了原本很复杂的情形。拥有越权访问的系统ID过多,意味着组织在保护多云环境时面临重大挑战。但是如果能定义谁在什么权限下使用特权帐户、撤销不必要的访问,以及运用即时权限访问,组织就可以保护多云环境,并放心地部署自动化流程。

  没人知道如今在云端到底使用了多少系统ID,我们只知道这个数字在迅速增加。虽然这种增加表明了业务运营有所改善,但也表明了需要动态可靠的安全解决方案。多云环境下工作的团队应与能够跨云环境确保安全,又不干扰运营的安全合作伙伴合作。这对于确保关键基础设施的安全性和功能性至关重要。

  

热词搜索:

上一篇:2022年针对云计算基础设施的网络犯罪威胁将不断上升
下一篇:加密软件从根源上减少数据泄露,防止二次转发

分享到: 收藏