社区编辑申请
注册/登录
多云环境下管控系统ID的五种手段
安全 应用安全 网站安全
没人知道如今在云端到底使用了多少系统ID,我们只知道这个数字在迅速增加。虽然这种增加表明了业务运营有所改善,但也表明了需要动态可靠的安全解决方案。

云端自动化的广泛采用,意味着系统ID数量的增长速度是人类用户的两倍。因为,在多云环境下,越权(over-privileged)的系统ID可以更快、更高效地执行从运行脚本到修补漏洞的各项任务,而且其犯的错误比人类用户少。虽然系统ID可以快速无误地完成任务并提高生产力,但这种跨不同云应用程序的广泛使用,使组织很难获得对系统ID的可见性,及强制执行最低权限访问。这就是为什么跨云管控系统ID和实施机密管理至关重要的原因,不这么做会加大组织的攻击面,并危及业务运营。

系统ID数量的激增,需要安全团队加强监管工作,因为了解使用哪些权限、使用多频繁以及在什么情况下使用至关重要。如果组织打算充分享用跨云自动化的好处,就必须成功地管理身份和访问。这在CloudOps团队中尤其如此,他们的工作是迅速地构建和交付产品,云构建团队为了不阻碍开发效率,会为新任务(比如应用程序动态测试)创建新的系统ID,这可能妨碍管理的可见性和用户责任制。很多时候,组织往往意识不到到云端系统ID方面的严重风险。如果组织中普遍存在系统ID访问权限过大且不受管理的情况,就会加大其攻击面和风险。一旦攻击者劫持了权限过大的身份,就可以横向移动,进而访问整个环境。

例如,早在上世纪90年代后期,工程师就在Linux上使用服务ID来运行cron job(计划任务),这需要运行脚本和更新报告之类的批处理任务。直到今天,人类仍依靠系统完成这些类型的任务。问题在于,在现代多云环境下,管理完成这些工作的系统要复杂得多——组织使用众多平台的数千个系统ID,使其缺乏可见性和控制度,安全团队可能不知道哪些ID执行哪些工作,因为它们是由云构建者设置的,这就大大增加了攻击者的攻击面。

从行为的角度来看,预测与系统ID相关的活动可能很困难。毕竟,系统偶尔会出现随机行为,完成超出通常职责范围的任务。但是当安全负责人试图审核ID用户权限时,他们会发现一长串费解的可能没必要的ID。这导致危险的停滞状态。如果组织中有太多权限访问数量不明的系统ID在人为干预之外运行,会导致威胁加大。组织应设法获得跨所有云平台(IaaS、DaaS、PaaS和SaaS)的可见性,并控制系统ID的特权访问。

理想情况下,这种管控来自单一的管理平台,授予和撤销权限就像点击按钮一样简单。至于系统ID的权限,安全团队应该像对待人一样对待系统ID,采用零常设权限(ZSP)政策——ZSP是多云安全的基准。这意味着摒弃静态权限或机密、撤销越权帐户,以及消除过时或不必要的帐户。这听起来像是复杂而艰巨的任务,却是保护云环境的必要步骤。幸好,现在有几种解决方案可以帮助组织获得可见性、实施控制以及不中断业务运营。

降低多云环境下越权系统ID风险的五种手段

1. 对所有用户(人类和非人类)使用即时(JIT)权限访问

无论在会话或任务持续期间、或是指定的时间段内,还是用户手动重新核查配置文件,都需要对所有用户(用户和机器ID)使用即时(JIT)权限访问,一旦任务完成,这些权限就被自动撤销。

2. 保持零常设权限

动态添加和删除权限,使企业CloudOps团队能够保持零常设权限(ZSP)安全态势。它适用于零信任概念,意味着在默认情况下,没有任何人或设备可以一直访问企业的云帐户和数据。

3. 集中和扩展权限管理

使用静态身份时,尽量减少散乱现象是一大挑战,如今许多CloudOps团队在努力使用 Excel电子表格来手动管理ID和权限。集中式配置可以跨所有云资源自动执行这个过程,从而大大降低出错、及帐户和数据面临更大风险的可能性。

4. 借助高级数据分析(ADA)获得统一的访问可见性

ADA使团队能够从单一管理平台跨所有平台监控整个环境,这项功能可识别每个组织特定的权限访问问题,并让负责管理数千个用户ID的安全团队能够做到心中有数。

5. 将机密管理引入到CI/CD流程中

可以实时授予和撤销JIT机密,这在CloudOps需要启动临时服务时很理想,它自动执行通过策略来调用的共享机密轮换机制,并保护和简化入职和离职流程。

有限的可见性阻碍了安全团队,并加剧了原本很复杂的情形。拥有越权访问的系统ID过多,意味着组织在保护多云环境时面临重大挑战。但是如果能定义谁在什么权限下使用特权帐户、撤销不必要的访问,以及运用即时权限访问,组织就可以保护多云环境,并放心地部署自动化流程。

没人知道如今在云端到底使用了多少系统ID,我们只知道这个数字在迅速增加。虽然这种增加表明了业务运营有所改善,但也表明了需要动态可靠的安全解决方案。多云环境下工作的团队应与能够跨云环境确保安全,又不干扰运营的安全合作伙伴合作。这对于确保关键基础设施的安全性和功能性至关重要。

参考链接:https://www.eweek.com/enterprise-apps/protecting-machine-ids-in-multi-cloud-5-techniques/

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

 

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2022-04-29 13:15:13

数据中台管控

2022-05-18 20:28:23

数字化转型云计算

2022-05-03 23:21:13

安全意识网络安全网络钓鱼

2022-05-11 13:55:18

高可用性分布式弹性

2022-05-20 16:43:08

加密货币虚拟货币比特币

2022-05-06 09:21:21

TypeScriptinterfacetype

2022-03-11 10:53:32

UML建模语言

2022-05-01 12:19:33

云原生公有云云计算

2022-04-11 09:15:44

中间件开源

2022-05-17 14:17:50

物理安全网络攻击网络安全

2022-04-27 11:51:14

云计算

2022-05-07 10:20:17

truncatedeleteMySQL

2022-04-20 08:11:12

OSPF路由器Router-ID

2022-05-12 15:24:49

机器人科学研究

2022-04-12 15:09:27

数据安全电子邮件安全

2022-03-03 12:53:40

云迁移云计算云平台

2022-04-28 15:14:24

27001信息安全网络安全

2022-05-06 10:58:55

数据库智能诊断

2022-04-14 14:25:51

大数据智慧城市数据分析

2022-05-09 11:52:38

Java卡片服务卡片

同话题下的热门内容

俄罗斯最大银行遭到DDoS攻击多集群Kubernetes管理和访问XDR注定会失败吗?浅谈网络安全服务化转型的底层逻辑与挑战新报告指出美国政府缺乏关于勒索软件攻击的全面数据代码安全:从响应式安全转向主动式安全请注意,PDF正在传播恶意软件

编辑推荐

权威解读 | 网络安全等级保护2.0标准体系以及主要标准百亿级访问量的实时监控系统如何实现?浅谈反浏览器指纹追踪符号执行:利用Angr进行简单CTF逆向分析拿什么拯救你,我的网络安全
我收藏的内容
点赞
收藏

51CTO技术栈公众号