与一般观点相反,云中有一个安全边界。但这不是我们习惯于保护的类型。因为没有网络,云中的边界实际上是身份。这是因为攻击者只需要适当的证据来破坏云安全控制。与网络安全不同,保护身份带来了一系列独特的挑战。让我们考虑前三名。
身份太多
与保护云中的身份有关的最大问题之一是它们的数量太多了。而不是一个或几个网络来保护,云有数百或数十万的身份,代表他们的个人周期。跟踪它们是一个大规模、无尽的库存项目,用户被添加和删除以满足需求。身份治理是云安全的主要组成部分,手动操作是不可行的,特别是因为大多数公司使用两个或两个以上的云服务提供商。
机器ID
虽然我们大多数人将身份与人类用户联系起来,但计算机(包括虚拟机、容器和服务)都有唯一的身份。事实上,在IaaS在环境中,机器身份通常是人类身份的20倍。这将产生更大的防御范围。同时,许多机器身份是瞬态的,并将在很短的时间内创建以执行特定的任务。这种动态特性使管理机器的身份比管理人的身份更加复杂。
权益
现在,我们已经确定了保护云以身份为中心的边界所涉及的规模。让我们考虑主要的安全风险因素:授权。由于每个标志都分配了访问特定资源和执行特定操作的权限,因此拥有过多权限的损坏标志可能会带来严重的安全风险。
授权不仅是云基础设施环境中的主要安全风险,而且其数量也使传统企业数据中心见绌。事实上,只有AWS有2500多个权限设置。同时,附加到个人身份中的角色和团队使管理云授权的任务更加复杂。如前所述,大多数公司使用多个云服务提供商,因此不可能手动跟踪授权。
驯服野兽
为控制云的身份和权利,请考虑以下最佳做法:
1.库存
首先进行云授权清单。由于云环境是动态的,因此应持续进行此评估,以维护以下方面的最新记录:
• 机器身份包括服务、计算机实例、数据存储和机密。
• 管理资源、权限边界和访问控制列表的身份和访问管理(IAM)策略。
• 本机和联合身份,如AWS IAM、Active Directory、Okta等。
2.评估
接下来,评估所有权利,以确定陈述策略与授予的实际权限之间的不一致性。本分析最简单的方法是了解哪些身份有权访问敏感资源,它们的权限是什么,以及与它们相关的角色。为了量化风险,请使用提供表格和图形的工具来过滤、搜索和查看指标和评分。
3.变更监控
为了检测与外部威胁、恶意内部人员甚至人为错误相关的可疑活动,应在可能的情况下持续监控资源和策略。利用检测与已建立的安全策略的偏差规则,可以确定何时更改敏感特权(如何升级特权),从而产生报警。
4.补救措施
由于权利通常影响各种业务流程和管理岛屿,建立补救协调流程非常重要。该管道应能够使用应用程序编程接口将新策略转发到云平台或问题管理(即票据)系统。DevOps团队可以使用基础架构代码(IaC)推动战略改变的平台。
5.执行最低特权
最后一步是使用机器云服务提供商的工具和手动方法,因为它涉及到不断的分析和删除太多的权限。最低特权的目的是减少云环境的攻击,并要求能够了解正在使用的权利、未使用的权利和不需要执行其功能的身份。对于与服务和基础设施相关的身份,只保留定义方案所需的权利,只保留安全和业务连续性。
就像云提供了一个灵活的基础设施,可以快速扩展以满足不断变化的业务需求一样,它也扩展了安全管理的复杂性和数量。此外,它们的重要性至关重要,因为用户和机器的身份是管理云的最后一道防线。这就是为什么保护云安全是一个数学问题:它需要分析和自动化来实现人类无法实现的目标。这些功能可以从实施云基础设施权利管理开始(CIEM)和云身份管理(CIG)在产品中获得。