企業(yè)云IAM沒(méi)有想的那么安全
對(duì)于保護(hù)企業(yè)免受外部和內(nèi)部威脅來(lái)說(shuō),云IAM策略是非常重要的。專家Rob Shapland介紹了如何加強(qiáng)云IAM。
云安全聯(lián)盟的一份最新報(bào)告顯示,身份認(rèn)證與訪問(wèn)管理是眾多正在部署云應(yīng)用的企業(yè)所面臨的最大問(wèn)題之一。有超過(guò)二成的受訪者表示,憑證泄露被證明是數(shù)據(jù)泄露的直接原因。攻擊者總是青睞竊取合法憑證;對(duì)于絕大多數(shù)企業(yè)的監(jiān)控系統(tǒng)來(lái)說(shuō),他們是很難區(qū)分黑客使用真實(shí)用戶名密碼登錄和真實(shí)用戶登錄的。只有更為先進(jìn)的防御系統(tǒng)才能夠檢測(cè)到已登錄用戶的不正常行為。
在CSA報(bào)告中,只有大約一半的企業(yè)表示,他們正在使用單點(diǎn)登錄,這意味著在很多情況下,用戶是使用密碼方式來(lái)訪問(wèn)云計(jì)算應(yīng)用程序的,而其帳戶策略可能與企業(yè)政策不符。這也就意味著,工作人員需要記住更多的密碼,這將有可能導(dǎo)致一些不好的使用習(xí)慣,例如使用相同密碼或者寫下密碼。沒(méi)有SSO的云計(jì)算應(yīng)用程序也不可能被連接到企業(yè)監(jiān)控軟件,所以成功和失敗的的登錄嘗試都不會(huì)被記錄下來(lái)。這是黑客們所夢(mèng)寐以求的,因?yàn)槔妹艽a管理不善的漏洞是入侵任何組織的最簡(jiǎn)單方法之一。
黑客如何利用云IAM弱點(diǎn)
大多數(shù)企業(yè)都采用了過(guò)期密碼的策略——例如,八個(gè)具有一定復(fù)雜性的字符,這個(gè)策略無(wú)助于抵御黑客用來(lái)獲得訪問(wèn)密碼的方法。防范密碼猜測(cè)攻擊的正確方法是使用密碼短語(yǔ)。但是,即便是那些正確實(shí)施密碼短語(yǔ)的企業(yè)也可能會(huì)發(fā)現(xiàn)中云中使用這個(gè)策略,因?yàn)楹芏嘣茟?yīng)用都限制了密碼的最大長(zhǎng)度。
密碼猜測(cè)并不是黑客用于獲取帳戶訪問(wèn)權(quán)限的唯一方法;通過(guò)電子郵件釣魚方式盜竊訪問(wèn)憑證通常更為簡(jiǎn)單,這是民族主義黑客和有組織犯罪攻擊者最喜歡使用的一種方式。云IAM策略需要反映這一風(fēng)險(xiǎn),而企業(yè)應(yīng)當(dāng)竭盡所能降低這一風(fēng)險(xiǎn)的發(fā)生概率,例如在所有面向互聯(lián)網(wǎng)的服務(wù)中使用多重身份驗(yàn)證。
加強(qiáng)企業(yè)的IAM策略
確保正確管理云IAM的第一步就是驗(yàn)證正確的IAM策略,以便防范現(xiàn)代黑客用于獲取用戶帳戶的實(shí)際方法。現(xiàn)有的IAM策略在推出應(yīng)用于云服務(wù)之前,應(yīng)確保IAM策略的現(xiàn)代化和強(qiáng)大。一旦策略實(shí)施到位并經(jīng)過(guò)測(cè)試,那么下一步就是將這個(gè)策略擴(kuò)展覆蓋云應(yīng)用。但是,該策略不應(yīng)只是應(yīng)用于企業(yè)本身,它還應(yīng)覆蓋外包IT、供應(yīng)商以及第三方。然后應(yīng)集中控制策略,這是關(guān)鍵的挑戰(zhàn)之一。
云IAM并不完全就是關(guān)于密碼的配置;它還涉及確保在雇員變更崗位或離職時(shí)的應(yīng)對(duì)措施,如改變?cè)L問(wèn)權(quán)限或刪除訪問(wèn)帳戶。這就要求一個(gè)涵蓋所有云服務(wù)的強(qiáng)大參與者、變崗者和離職者策略,要求企業(yè)能夠了解和理解影子云服務(wù)。不理解誰(shuí)有訪問(wèn)云應(yīng)用的權(quán)限,以及為什么外部黑客和內(nèi)部用戶有可能顯著增加風(fēng)險(xiǎn)。
云IAM是安全擴(kuò)展企業(yè)網(wǎng)絡(luò)邊界并囊括云的一個(gè)主要挑戰(zhàn)。其中關(guān)鍵的一點(diǎn)就是理解誰(shuí)有訪問(wèn)權(quán)限以及訪問(wèn)了哪些應(yīng)用。企業(yè)IAM策略需要擴(kuò)展涵蓋用戶已經(jīng)確定的云應(yīng)用,然后整合能夠報(bào)告云服務(wù)中異常登錄活動(dòng)的報(bào)警機(jī)制。通過(guò)實(shí)施這一過(guò)程,它能減少在企業(yè)沒(méi)有意識(shí)到的情況下訪問(wèn)憑證被盜和誤用的可能性。
