為什麼保護雲安全是一個數學問題
2021年01月06日10:45

原標題:為什麼保護雲安全是一個數學問題

與普遍的看法相反,雲中有一個安全邊界。但這不是我們習慣保護的類型。由於沒有網絡,雲中事實上的邊界就是身份。這是因為攻擊者要破壞雲安全控制,所需的只是適當的憑據。與網絡安全不同,保護身份帶來了一系列獨特的挑戰。讓我們考慮一下前三名。

身份太多

與保護雲中的身份相關的最大問題之一是它們的數量太多。而不是一個或少數的網絡來保護,雲有成百上千或數十萬的身份,代表自己的個人周界。跟蹤它們是一個大規模的、永無止境的庫存項目,用戶被不斷地添加和刪除以滿足需求。身份治理是雲安全的一個主要組成部分,手動操作是不可行的,特別是因為大多數公司使用兩個或更多的雲服務提供商。

機器ID

儘管我們大多數人將身份與人類用戶相關聯,但計算機(包括虛擬機、容器和服務)都具有唯一的身份。實際上,在IaaS環境中,機器身份通常要比人類身份多20倍。這會產生更大的防禦範圍。同時,許多機器身份是瞬態的,並且會在很短的時間內創建以執行特定任務。這種動態的特性使管理機器身份比管理人的身份更加複雜。

權益

現在,我們已經確定了保護雲以身份為中心的邊界所涉及的規模,讓我們考慮一下主要的安全風險因素:授權。由於每個標識都分配了訪問特定資源和執行特定操作的權限,因此具有過多權限的受損標識可能會帶來嚴重的安全風險。

在雲基礎設施環境中,授權不僅是一個主要的安全風險,而且其數量也使傳統企業數據中心中的任何東西相形見絀。事實上,僅在AWS中就有2500多個權限設置。同時,附加到個人身份的角色和組使管理雲授權的任務更加複雜。如前所述,大多數公司使用多個雲服務提供商,因此不可能手動跟蹤授權。

馴服野獸

為了控制雲身份和權利,請考慮以下最佳做法:

1.庫存

首先進行雲授權清單。由於雲環境是動態的,因此應持續進行此評估,以維護以下方面的最新記錄:

• 機器身份,包括服務、計算機實例、數據存儲和機密。

• 管理資源,權限邊界和訪問控制列表的身份和訪問管理(IAM)策略。

• 本機和聯合身份,例如AWS IAM、Active Directory、Okta等。

2.評估

接下來,對所有權利進行評估,以識別陳述的策略與已授予的實際權限之間的不一致。進行此分析的最簡單方法是通過可視化,以瞭解哪些身份有權訪問敏感資源,其權限是什麼以及與它們關聯的角色。為了量化風險,請使用提供表格和圖形表示並可以過濾,搜索和查看指標和得分的工具。

3.變更監控

為了檢測與外部威脅,惡意內部人員甚至人為錯誤相關的可疑活動,應在可能的情況下連續監視資源和策略。使用檢測與已建立的安全策略的偏離的規則,可以確定何時更改敏感特權(例如何時發生特權升級),從而可以生成警報。

4.補救措施

由於權利通常會影響各種業務流程和管理孤島,因此建立補救協調流程非常重要。該管道應該能夠使用應用程式編程接口以自動化的方式將新策略轉發到雲平台,或者轉發到問題管理(即票證)系統以進行實施。同時,DevOps團隊可以使用基礎架構代碼(IaC)平台來推動策略更改。

5.最低特權執行

這最後一步是使用本機雲服務提供商工具和手動方法最難實現的,因為它涉及不斷分析和刪除過多的權限。最低特權的目的是減少雲環境的攻擊面,並且它要求能夠瞭解正在使用哪些權利,哪些權利未使用以及身份執行其功能不需要哪些權利。對於與服務和基礎結構有關的身份,僅應保留已定義方案所需的權利,而僅應保留這些權利,以確保安全性和業務連續性。

就像雲提供了可以快速擴展以滿足不斷變化的業務需求的彈性基礎架構一樣,它也擴展了安全管理的複雜性和數量。而且,由於同時屬於用戶和機器的身份是管理它們的雲的最後一道防線,因此它們的重要性至關重要。這就是保護雲安全是一個數學問題的原因:它需要分析和自動化來實現人類無法實現的目標。這些功能可從執行雲基礎架構權利管理(CIEM)和雲身份管理(CIG)的產品中獲得。

關注我們Facebook專頁
    相關新聞
      更多瀏覽