与普遍的看法相反,云中有一个安全边界。但这不是我们习惯保护的类型。由于没有网络,云中事实上的边界就是身份。这是因为攻击者要破坏云安全控制,所需的只是适当的凭据。与网络安全不同,保护身份带来了一系列独特的挑战。让我们考虑一下前三名。
身份太多
与保护云中的身份相关的最大问题之一是它们的数量太多。而不是一个或少数的网络来保护,云有成百上千或数十万的身份,代表自己的个人周界。跟踪它们是一个大规模的、永无止境的库存项目,用户被不断地添加和删除以满足需求。身份治理是云安全的一个主要组成部分,手动操作是不可行的,特别是因为大多数公司使用两个或更多的云服务提供商。
机器ID
尽管我们大多数人将身份与人类用户相关联,但计算机(包括虚拟机、容器和服务)都具有唯一的身份。实际上,在IaaS环境中,机器身份通常要比人类身份多20倍。这会产生更大的防御范围。同时,许多机器身份是瞬态的,并且会在很短的时间内创建以执行特定任务。这种动态的特性使管理机器身份比管理人的身份更加复杂。
权益
现在,我们已经确定了保护云以身份为中心的边界所涉及的规模,让我们考虑一下主要的安全风险因素:授权。由于每个标识都分配了访问特定资源和执行特定操作的权限,因此具有过多权限的受损标识可能会带来严重的安全风险。
在云基础设施环境中,授权不仅是一个主要的安全风险,而且其数量也使传统企业数据中心中的任何东西相形见绌。事实上,仅在AWS中就有2500多个权限设置。同时,附加到个人身份的角色和组使管理云授权的任务更加复杂。如前所述,大多数公司使用多个云服务提供商,因此不可能手动跟踪授权。
驯服野兽
为了控制云身份和权利,请考虑以下最佳做法:
1.库存
首先进行云授权清单。由于云环境是动态的,因此应持续进行此评估,以维护以下方面的最新记录:
机器身份,包括服务、计算机实例、数据存储和机密。
管理资源,权限边界和访问控制列表的身份和访问管理(IAM)策略。
本机和联合身份,例如AWS IAM、Active DiRecTory、Okta等。
2.评估
接下来,对所有权利进行评估,以识别陈述的策略与已授予的实际权限之间的不一致。进行此分析的最简单方法是通过可视化,以了解哪些身份有权访问敏感资源,其权限是什么以及与它们关联的角色。为了量化风险,请使用提供表格和图形表示并可以过滤,搜索和查看指标和得分的工具。
3.变更监控
为了检测与外部威胁,恶意内部人员甚至人为错误相关的可疑活动,应在可能的情况下连续监视资源和策略。使用检测与已建立的安全策略的偏离的规则,可以确定何时更改敏感特权(例如何时发生特权升级),从而可以生成警报。
4.补救措施
由于权利通常会影响各种业务流程和管理孤岛,因此建立补救协调流程非常重要。该管道应该能够使用应用程序编程接口以自动化的方式将新策略转发到云平台,或者转发到问题管理(即票证)系统以进行实施。同时,DevOps团队可以使用基础架构代码(IaC)平台来推动策略更改。
5.最低特权执行
这最后一步是使用本机云服务提供商工具和手动方法最难实现的,因为它涉及不断分析和删除过多的权限。最低特权的目的是减少云环境的攻击面,并且它要求能够了解正在使用哪些权利,哪些权利未使用以及身份执行其功能不需要哪些权利。对于与服务和基础结构有关的身份,仅应保留已定义方案所需的权利,而仅应保留这些权利,以确保安全性和业务连续性。
就像云提供了可以快速扩展以满足不断变化的业务需求的弹性基础架构一样,它也扩展了安全管理的复杂性和数量。而且,由于同时属于用户和机器的身份是管理它们的云的最后一道防线,因此它们的重要性至关重要。这就是保护云安全是一个数学问题的原因:它需要分析和自动化来实现人类无法实现的目标。这些功能可从执行云基础架构权利管理(CIEM)和云身份管理(CIG)的产品中获得。