何處理云端特權(quán)用戶管理?
很多企業(yè)正在試圖保護(hù)員工使用的各種云應(yīng)用和服務(wù)中的用戶賬戶,這樣做是因?yàn)椋汗粽咴絹?lái)越多地通過(guò)釣魚攻擊和路過(guò)式下載等方式獲取云賬戶和登錄憑證,以試圖獲取對(duì)企業(yè)IT環(huán)境的訪問(wèn)權(quán)限。雖然企業(yè)已經(jīng)非常注意保護(hù)用戶賬戶,但一旦根級(jí)和管理級(jí)賬戶被泄露,企業(yè)可能面臨非常嚴(yán)重的后果。
例如,考慮一下Code Spaces的情況,其亞馬遜云計(jì)算服務(wù)(AWS)管理門戶在2014年遭到攻擊。在攻擊者獲得訪問(wèn)權(quán)限后,該公司的整個(gè)基礎(chǔ)設(shè)施被暴露,這最終導(dǎo)致該公司倒閉。那么,企業(yè)應(yīng)該如何保護(hù)與其環(huán)境相關(guān)的特權(quán)賬戶以及部署強(qiáng)大特權(quán)用戶管理呢?
在大多數(shù)基礎(chǔ)設(shè)施即服務(wù)(IaaS)云中,主要有幾種形式的管理或根級(jí)訪問(wèn)。在默認(rèn)情況下,IaaS環(huán)境要求創(chuàng)建用戶賬戶作為初始管理員,該賬戶通常是通過(guò)用戶名或電子郵件以及密碼來(lái)進(jìn)行身份驗(yàn)證。這個(gè)初始管理員可配置環(huán)境,并創(chuàng)建新用戶和組。用戶目錄(例如微軟的Active Directory)也可鏈接到云訪問(wèn),從而基于內(nèi)部角色向很多管理員提供云訪問(wèn)。很多IaaS系統(tǒng)鏡像或模板還包含具有特權(quán)的默認(rèn)用戶賬戶。在AWS機(jī)器鏡像中,此用戶是“ec2-user”。
基本特權(quán)用戶管理概念
首先,企業(yè)需要重新審視特權(quán)用戶管理的核心概念,這包括職責(zé)分離和最低權(quán)限訪問(wèn)模型。很多云服務(wù)提供商包含內(nèi)置身份和訪問(wèn)管理工具,允許為每個(gè)用戶和組創(chuàng)建不同的政策。這允許安全團(tuán)隊(duì)幫助設(shè)計(jì)特權(quán)政策,讓管理員只能執(zhí)行其角色絕對(duì)需要的操作。
對(duì)于不支持細(xì)粒度角色和特權(quán)模型的云服務(wù)提供商,可通過(guò)使用身份即服務(wù)提供來(lái)實(shí)現(xiàn),提供商可在內(nèi)部憑證存儲(chǔ)和云服務(wù)提供商環(huán)境之間傳輸身份信息,同時(shí)作為單點(diǎn)登錄門戶。
此外,企業(yè)應(yīng)該對(duì)所有云環(huán)境的特權(quán)用戶訪問(wèn)強(qiáng)制性使用多因素身份驗(yàn)證,這可能會(huì)阻止對(duì)Code Spaces控制臺(tái)的初始攻擊。很多提供商提供多種不同形式的多因素訪問(wèn),包括終端上的證書、多因素提供商的硬和軟令牌以及短信代碼--這些代碼不夠安全,但仍然比什么都沒(méi)有要強(qiáng)。
理想情況下,擁有管理器權(quán)限的用戶將使用受批準(zhǔn)的多因素方法來(lái)訪問(wèn)管理控制臺(tái),以及所有類型云環(huán)境中的敏感資產(chǎn)和服務(wù)。對(duì)于大多數(shù)企業(yè),軟令牌和證書被證明是特權(quán)用戶管理中最可行和最安全的選擇。
最后,控制管理和根級(jí)訪問(wèn)的關(guān)鍵方面是通過(guò)管理和監(jiān)控密鑰來(lái)執(zhí)行。大多數(shù)管理員賬號(hào)(特別是那些內(nèi)置到默認(rèn)系統(tǒng)鏡像的賬戶,例如亞馬遜的ec2-user)需要使用私鑰進(jìn)行訪問(wèn)。這些密鑰通常在創(chuàng)建用戶時(shí)生成,或者可獨(dú)立生成,并且必須受到嚴(yán)格控制以防止對(duì)任何賬戶的非法訪問(wèn),特別是管理員或根級(jí)用戶。
作為特權(quán)用戶管理的一部分,安全和運(yùn)營(yíng)團(tuán)隊(duì)?wèi)?yīng)該確保密鑰在內(nèi)部以及云中受到安全保護(hù),理想情況下,密鑰應(yīng)該放在硬件安全模塊或者其他專用于控制加密密鑰的高度安全平臺(tái)中。當(dāng)開發(fā)人員需要整合密鑰到其部署管道時(shí),應(yīng)該利用工具來(lái)保護(hù)這些敏感信息,例如Ansible Vault或者Chef加密數(shù)據(jù)包。
為了確保這些特權(quán)賬戶不會(huì)被濫用,安全團(tuán)隊(duì)?wèi)?yīng)該收集和監(jiān)控云環(huán)境中可用的日志,以及使用AWS Cloudtrail等內(nèi)置工具或者商業(yè)日志和事件監(jiān)控工具及服務(wù)。
