多云環(huán)境下管控系統(tǒng)ID的五種手段
云端自動(dòng)化的廣泛采用,意味著系統(tǒng)ID數(shù)量的增長(zhǎng)速度是人類用戶的兩倍。因?yàn)椋诙嘣骗h(huán)境下,越權(quán)(over-privileged)的系統(tǒng)ID可以更快、更高效地執(zhí)行從運(yùn)行腳本到修補(bǔ)漏洞的各項(xiàng)任務(wù),而且其犯的錯(cuò)誤比人類用戶少。雖然系統(tǒng)ID可以快速無(wú)誤地完成任務(wù)并提高生產(chǎn)力,但這種跨不同云應(yīng)用程序的廣泛使用,使組織很難獲得對(duì)系統(tǒng)ID的可見(jiàn)性,及強(qiáng)制執(zhí)行最低權(quán)限訪問(wèn)。這就是為什么跨云管控系統(tǒng)ID和實(shí)施機(jī)密管理至關(guān)重要的原因,不這么做會(huì)加大組織的攻擊面,并危及業(yè)務(wù)運(yùn)營(yíng)。
系統(tǒng)ID數(shù)量的激增,需要安全團(tuán)隊(duì)加強(qiáng)監(jiān)管工作,因?yàn)榱私馐褂媚男?quán)限、使用多頻繁以及在什么情況下使用至關(guān)重要。如果組織打算充分享用跨云自動(dòng)化的好處,就必須成功地管理身份和訪問(wèn)。這在CloudOps團(tuán)隊(duì)中尤其如此,他們的工作是迅速地構(gòu)建和交付產(chǎn)品,云構(gòu)建團(tuán)隊(duì)為了不阻礙開發(fā)效率,會(huì)為新任務(wù)(比如應(yīng)用程序動(dòng)態(tài)測(cè)試)創(chuàng)建新的系統(tǒng)ID,這可能妨礙管理的可見(jiàn)性和用戶責(zé)任制。很多時(shí)候,組織往往意識(shí)不到到云端系統(tǒng)ID方面的嚴(yán)重風(fēng)險(xiǎn)。如果組織中普遍存在系統(tǒng)ID訪問(wèn)權(quán)限過(guò)大且不受管理的情況,就會(huì)加大其攻擊面和風(fēng)險(xiǎn)。一旦攻擊者劫持了權(quán)限過(guò)大的身份,就可以橫向移動(dòng),進(jìn)而訪問(wèn)整個(gè)環(huán)境。
例如,早在上世紀(jì)90年代后期,工程師就在Linux上使用服務(wù)ID來(lái)運(yùn)行cron job(計(jì)劃任務(wù)),這需要運(yùn)行腳本和更新報(bào)告之類的批處理任務(wù)。直到今天,人類仍依靠系統(tǒng)完成這些類型的任務(wù)。問(wèn)題在于,在現(xiàn)代多云環(huán)境下,管理完成這些工作的系統(tǒng)要復(fù)雜得多——組織使用眾多平臺(tái)的數(shù)千個(gè)系統(tǒng)ID,使其缺乏可見(jiàn)性和控制度,安全團(tuán)隊(duì)可能不知道哪些ID執(zhí)行哪些工作,因?yàn)樗鼈兪怯稍茦?gòu)建者設(shè)置的,這就大大增加了攻擊者的攻擊面。
從行為的角度來(lái)看,預(yù)測(cè)與系統(tǒng)ID相關(guān)的活動(dòng)可能很困難。畢竟,系統(tǒng)偶爾會(huì)出現(xiàn)隨機(jī)行為,完成超出通常職責(zé)范圍的任務(wù)。但是當(dāng)安全負(fù)責(zé)人試圖審核ID用戶權(quán)限時(shí),他們會(huì)發(fā)現(xiàn)一長(zhǎng)串費(fèi)解的可能沒(méi)必要的ID。這導(dǎo)致危險(xiǎn)的停滯狀態(tài)。如果組織中有太多權(quán)限訪問(wèn)數(shù)量不明的系統(tǒng)ID在人為干預(yù)之外運(yùn)行,會(huì)導(dǎo)致威脅加大。組織應(yīng)設(shè)法獲得跨所有云平臺(tái)(IaaS、DaaS、PaaS和SaaS)的可見(jiàn)性,并控制系統(tǒng)ID的特權(quán)訪問(wèn)。
理想情況下,這種管控來(lái)自單一的管理平臺(tái),授予和撤銷權(quán)限就像點(diǎn)擊按鈕一樣簡(jiǎn)單。至于系統(tǒng)ID的權(quán)限,安全團(tuán)隊(duì)?wèi)?yīng)該像對(duì)待人一樣對(duì)待系統(tǒng)ID,采用零常設(shè)權(quán)限(ZSP)政策——ZSP是多云安全的基準(zhǔn)。這意味著摒棄靜態(tài)權(quán)限或機(jī)密、撤銷越權(quán)帳戶,以及消除過(guò)時(shí)或不必要的帳戶。這聽起來(lái)像是復(fù)雜而艱巨的任務(wù),卻是保護(hù)云環(huán)境的必要步驟。幸好,現(xiàn)在有幾種解決方案可以幫助組織獲得可見(jiàn)性、實(shí)施控制以及不中斷業(yè)務(wù)運(yùn)營(yíng)。
降低多云環(huán)境下越權(quán)系統(tǒng)ID風(fēng)險(xiǎn)的五種手段
1. 對(duì)所有用戶(人類和非人類)使用即時(shí)(JIT)權(quán)限訪問(wèn)
無(wú)論在會(huì)話或任務(wù)持續(xù)期間、或是指定的時(shí)間段內(nèi),還是用戶手動(dòng)重新核查配置文件,都需要對(duì)所有用戶(用戶和機(jī)器ID)使用即時(shí)(JIT)權(quán)限訪問(wèn),一旦任務(wù)完成,這些權(quán)限就被自動(dòng)撤銷。
2. 保持零常設(shè)權(quán)限
動(dòng)態(tài)添加和刪除權(quán)限,使企業(yè)CloudOps團(tuán)隊(duì)能夠保持零常設(shè)權(quán)限(ZSP)安全態(tài)勢(shì)。它適用于零信任概念,意味著在默認(rèn)情況下,沒(méi)有任何人或設(shè)備可以一直訪問(wèn)企業(yè)的云帳戶和數(shù)據(jù)。
3. 集中和擴(kuò)展權(quán)限管理
使用靜態(tài)身份時(shí),盡量減少散亂現(xiàn)象是一大挑戰(zhàn),如今許多CloudOps團(tuán)隊(duì)在努力使用 Excel電子表格來(lái)手動(dòng)管理ID和權(quán)限。集中式配置可以跨所有云資源自動(dòng)執(zhí)行這個(gè)過(guò)程,從而大大降低出錯(cuò)、及帳戶和數(shù)據(jù)面臨更大風(fēng)險(xiǎn)的可能性。
4. 借助高級(jí)數(shù)據(jù)分析(ADA)獲得統(tǒng)一的訪問(wèn)可見(jiàn)性
ADA使團(tuán)隊(duì)能夠從單一管理平臺(tái)跨所有平臺(tái)監(jiān)控整個(gè)環(huán)境,這項(xiàng)功能可識(shí)別每個(gè)組織特定的權(quán)限訪問(wèn)問(wèn)題,并讓負(fù)責(zé)管理數(shù)千個(gè)用戶ID的安全團(tuán)隊(duì)能夠做到心中有數(shù)。
5. 將機(jī)密管理引入到CI/CD流程中
可以實(shí)時(shí)授予和撤銷JIT機(jī)密,這在CloudOps需要啟動(dòng)臨時(shí)服務(wù)時(shí)很理想,它自動(dòng)執(zhí)行通過(guò)策略來(lái)調(diào)用的共享機(jī)密輪換機(jī)制,并保護(hù)和簡(jiǎn)化入職和離職流程。
有限的可見(jiàn)性阻礙了安全團(tuán)隊(duì),并加劇了原本很復(fù)雜的情形。擁有越權(quán)訪問(wèn)的系統(tǒng)ID過(guò)多,意味著組織在保護(hù)多云環(huán)境時(shí)面臨重大挑戰(zhàn)。但是如果能定義誰(shuí)在什么權(quán)限下使用特權(quán)帳戶、撤銷不必要的訪問(wèn),以及運(yùn)用即時(shí)權(quán)限訪問(wèn),組織就可以保護(hù)多云環(huán)境,并放心地部署自動(dòng)化流程。
沒(méi)人知道如今在云端到底使用了多少系統(tǒng)ID,我們只知道這個(gè)數(shù)字在迅速增加。雖然這種增加表明了業(yè)務(wù)運(yùn)營(yíng)有所改善,但也表明了需要?jiǎng)討B(tài)可靠的安全解決方案。多云環(huán)境下工作的團(tuán)隊(duì)?wèi)?yīng)與能夠跨云環(huán)境確保安全,又不干擾運(yùn)營(yíng)的安全合作伙伴合作。這對(duì)于確保關(guān)鍵基礎(chǔ)設(shè)施的安全性和功能性至關(guān)重要。
參考鏈接:https://www.eweek.com/enterprise-apps/protecting-machine-ids-in-multi-cloud-5-techniques/
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
