在多云中保護機器ID的五種技術
譯文【51CTO.com快譯】如今,越來越多的組織采用自動化技術通過云計算應用程序實現數字化轉型,而這也促使機器身份(ID)的數量快速增長。
事實上,機器身份(ID)的數量如今已經達到人類用戶身份數量的3倍以上。雖然機器ID可以快速無誤地完成任務來提高生產力,但如此廣泛的應用(采用不同的云計算應用程序)讓組織獲得可見性和強制執行最低權限訪問變得更加困難。這就是在多云中保護機器ID和實施機密治理至關重要的原因。如果不這樣做,將會增加組織的攻擊面,并影響業務運營。
在多云環境中,組織依靠權限過大的機器ID執行各種任務(從運行腳本到修補漏洞),這是因為它們執行速度快、更具成本效益,并且犯的錯誤比人類少得多。
由于自動化技術在云平臺中的廣泛采用,機器ID數量激增。而令人不安的是,在許多情況下,這些ID和權限是靜態的,有時會被硬編碼到應用程序中,導致它們具有不必要的、過時的且無法更換的長期權限。
分布在眾多云計算環境中的大量設備導致服務帳戶、機器人和機器人流程的增加。這些需要更加一致的訪問,不斷交換權限信息,并且它們大多脫離了人為監督。更重要的是,隨著ID越來越深入地嵌入自主和自動化流程中,它們通常會承擔高級職責。
機器ID的激增促使組織的安全團隊加強監控和管理工作,因為了解使用哪些權限、使用頻率,以及在什么情況下使用這些權限是至關重要的。
如果組織希望充分利用自動化在多云平臺應用的優勢,那么成功管理ID和訪問是必不可少的。在CloudOps團隊中尤其如此,他們的工作是以極快的速度構建和交付產品。當組織的任務采用自動化技術快速開發時,CloudOps團隊需要努力保持不會減慢生產速度。因此,將會為動態應用程序測試等新任務創建新ID,但這可能會混淆管理可見性和用戶責任。
在授予訪問權限時,在內部部署設施可能已經擁有足夠的權限,但缺乏跨云平臺操作所需的自動化、權限訪問管理功能。而在很多時候,組織并沒有意識到與云平臺中機器ID相關的嚴重風險。如果機器ID之間的過度權限訪問普遍存在且沒有得到管理,則會擴大組織的攻擊面和風險。因此,當網絡攻擊者劫持過度權限的機器ID時,他們可以入侵并訪問整個運行環境。
新的Cron工作
幾十年來,機器人的訪問權限已經被集成到計算機化流程中。因此,它們在完成重復性任務方面變得比人類更有效率。
事實上,早在上世紀90年代末,工程師就在Linux服務器上使用機器ID來運行Cron作業,這需要諸如運行腳本、更新報告等批處理任務。直到現在,人類仍然依靠機器人來完成這些類型的任務。
問題在于,在多云環境中管理完成這些工作的機器人要復雜得多:使用數千臺機器ID的眾多云平臺缺乏可見性和控制性;安全團隊可能不知道哪些ID執行哪些工作,因為它們是由云平臺構建者設置的。機器人不會通過刪除基本權限來潛在地中斷運營,而是獲得許可,從而繼續使組織面臨更多的風險。
從行為的角度來看,預測與機器ID相關的活動可能很困難。畢竟,機器人偶爾會表現出隨機行為,完成超出其通常權限范圍的任務。但是當安全人員審核用戶ID權限時,他們會發現一個難以理解的ID列表,這些ID可能是必需的,也可能不是必需的。
這會導致危險的停滯。大量具有未知訪問權限的機器ID(在人為干預之外運行)會導致威脅范圍擴大。
增加可見性
組織應該設法在所有云平臺(IaaS、DaaS、PaaS和SaaS)中獲得可見性,并控制機器ID的訪問。在理想情況下,它通過一個單一的管理平臺授予和撤銷權限。
就權限而言,組織的團隊應該像對待人類一樣對待機器ID,并采用零持續權限(ZSP)策略。ZSP是多云安全的基準,這意味著需要取消靜態權限,撤銷權限過高的帳戶,并消除過時或無關的帳戶。
這聽起來可能是一項復雜而艱巨的任務,但卻是保護云計算環境的必要步驟。幸運的是,現在有一些解決方案可以幫助組織增加可見性和控制權,并且不會中斷業務運營。
在多云環境中降低特權機器ID風險的五種技術
(1)對所有用戶(人類和非人類)使用即時(JIT) 權限訪問
用戶和機器ID可以在會話或任務的持續時間、設定的時間期限內,或直到用戶人工重新配置文件之前,快速檢出特定云計算服務的基于角色的提升權限配置文件。而在任務完成后,這些權限將會自動撤銷。
(2)保持零持續權限(ZSP)
動態添加和刪除權限可以使組織的CloudOps團隊保持零持續權限(ZSP)安全態勢。它基于零信任的概念,這意味著在默認情況下,任何人員或事物都不受信任,并且無法獲得組織的云帳戶和數據的長期訪問權限。
(3)集中和擴展權限管理
在使用靜態ID時,最大限度地減少蔓延是一項關鍵挑戰,如今許多CloudOps團隊都在努力使用Excel電子表格人工管理ID和權限。集中配置可以在多云中自動執行這一過程,從而顯著降低帳戶和數據面臨的風險。
(4)通過高級數據分析(ADA)獲得統一訪問可見性
高級數據分析(ADA)使組織的團隊能夠通過單一管理平臺監控多云平臺的運營環境。這一功能可識別特定于每個組織的權限訪問的問題,并為負責管理數千個用戶ID的團隊加強可見性和可靠性。
(5)將機密治理構建到持續集成(CI)/持續交付(CD)流程中
組織可以即時授予和撤銷JIT權限,這在CloudOps團隊需要啟動臨時服務時非常理想。自動執行通過策略調用的共享秘密輪換,并保護和簡化入職和離職流程。
而有限的可視性削弱了安全團隊的能力,讓安全管理更加復雜。而具有過度權限訪問的機器ID數量過多則意味著組織在保護多云環境時將面臨重大挑戰。
但是組織通過定義使用特權帳戶的用戶及其權限,取消不必要的訪問,并應用即時權限訪問,可以確保多云環境的安全,并有效地部署自動化流程。
雖然沒有人知道云平臺使用了多少個機器ID,但這個數字正在迅速增加。這種加速增長標志著業務運營的改善,但也表明了組織對于動態和強大的安全解決方案的需求。
組織在多云環境中運營的團隊應與安全合作伙伴合作,這些合作伙伴可以在不中斷運營的情況下提供跨云覆蓋服務。這對于維護關鍵基礎設施的安全性和功能性至關重要。
原文標題:Protecting Machine IDs in Multi-Cloud: 5 Techniques,作者:Art Poghosyan
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
