2023-07-16 分類: 網(wǎng)站建設(shè)
與普遍的看法相反,云中有一個安全邊界。但這不是我們習(xí)慣保護(hù)的類型。由于沒有網(wǎng)絡(luò),云中事實(shí)上的邊界就是身份。這是因?yàn)楣粽咭茐脑瓢踩刂?,所需的只是適當(dāng)?shù)膽{據(jù)。與網(wǎng)絡(luò)安全不同,保護(hù)身份帶來了一系列獨(dú)特的挑戰(zhàn)。讓我們考慮一下前三名。
身份太多
與保護(hù)云中的身份相關(guān)的大問題之一是它們的數(shù)量太多。而不是一個或少數(shù)的網(wǎng)絡(luò)來保護(hù),云有成百上千或數(shù)十萬的身份,代表自己的個人周界。跟蹤它們是一個大規(guī)模的、永無止境的庫存項(xiàng)目,用戶被不斷地添加和刪除以滿足需求。身份治理是云安全的一個主要組成部分,手動操作是不可行的,特別是因?yàn)榇蠖鄶?shù)公司使用兩個或更多的云服務(wù)提供商。
機(jī)器ID
盡管我們大多數(shù)人將身份與人類用戶相關(guān)聯(lián),但計(jì)算機(jī)(包括虛擬機(jī)、容器和服務(wù))都具有唯一的身份。實(shí)際上,在IaaS環(huán)境中,機(jī)器身份通常要比人類身份多20倍。這會產(chǎn)生更大的防御范圍。同時,許多機(jī)器身份是瞬態(tài)的,并且會在很短的時間內(nèi)創(chuàng)建以執(zhí)行特定任務(wù)。這種動態(tài)的特性使管理機(jī)器身份比管理人的身份更加復(fù)雜。
權(quán)益
現(xiàn)在,我們已經(jīng)確定了保護(hù)云以身份為中心的邊界所涉及的規(guī)模,讓我們考慮一下主要的安全風(fēng)險因素:授權(quán)。由于每個標(biāo)識都分配了訪問特定資源和執(zhí)行特定操作的權(quán)限,因此具有過多權(quán)限的受損標(biāo)識可能會帶來嚴(yán)重的安全風(fēng)險。
在云基礎(chǔ)設(shè)施環(huán)境中,授權(quán)不僅是一個主要的安全風(fēng)險,而且其數(shù)量也使傳統(tǒng)企業(yè)數(shù)據(jù)中心中的任何東西相形見絀。事實(shí)上,僅在AWS中就有2500多個權(quán)限設(shè)置。同時,附加到個人身份的角色和組使管理云授權(quán)的任務(wù)更加復(fù)雜。如前所述,大多數(shù)公司使用多個云服務(wù)提供商,因此不可能手動跟蹤授權(quán)。
馴服野獸
為了控制云身份和權(quán)利,請考慮以下最佳做法:
1.庫存
首先進(jìn)行云授權(quán)清單。由于云環(huán)境是動態(tài)的,因此應(yīng)持續(xù)進(jìn)行此評估,以維護(hù)以下方面的最新記錄:
? 機(jī)器身份,包括服務(wù)、計(jì)算機(jī)實(shí)例、數(shù)據(jù)存儲和機(jī)密。
? 管理資源,權(quán)限邊界和訪問控制列表的身份和訪問管理(IAM)策略。
? 本機(jī)和聯(lián)合身份,例如AWS IAM、Active Directory、Okta等。
2.評估
接下來,對所有權(quán)利進(jìn)行評估,以識別陳述的策略與已授予的實(shí)際權(quán)限之間的不一致。進(jìn)行此分析的最簡單方法是通過可視化,以了解哪些身份有權(quán)訪問敏感資源,其權(quán)限是什么以及與它們關(guān)聯(lián)的角色。為了量化風(fēng)險,香港免備案主機(jī),請使用提供表格和圖形表示并可以過濾,搜索和查看指標(biāo)和得分的工具。
3.變更監(jiān)控
為了檢測與外部威脅,惡意內(nèi)部人員甚至人為錯誤相關(guān)的可疑活動,應(yīng)在可能的情況下連續(xù)監(jiān)視資源和策略。使用檢測與已建立的安全策略的偏離的規(guī)則,可以確定何時更改敏感特權(quán)(例如何時發(fā)生特權(quán)升級),從而可以生成警報(bào)。
4.補(bǔ)救措施
由于權(quán)利通常會影響各種業(yè)務(wù)流程和管理孤島,因此建立補(bǔ)救協(xié)調(diào)流程非常重要。該管道應(yīng)該能夠使用應(yīng)用程序編程接口以自動化的方式將新策略轉(zhuǎn)發(fā)到云平臺,或者轉(zhuǎn)發(fā)到問題管理(即票證)系統(tǒng)以進(jìn)行實(shí)施。同時,DevOps團(tuán)隊(duì)可以使用基礎(chǔ)架構(gòu)代碼(IaC)平臺來推動策略更改。
5.最低特權(quán)執(zhí)行
這最后一步是使用本機(jī)云服務(wù)提供商工具和手動方法最難實(shí)現(xiàn)的,因?yàn)樗婕安粩喾治龊蛣h除過多的權(quán)限。最低特權(quán)的目的是減少云環(huán)境的攻擊面,免備案服務(wù)器,并且它要求能夠了解正在使用哪些權(quán)利,哪些權(quán)利未使用以及身份執(zhí)行其功能不需要哪些權(quán)利。對于與服務(wù)和基礎(chǔ)結(jié)構(gòu)有關(guān)的身份,僅應(yīng)保留已定義方案所需的權(quán)利,而僅應(yīng)保留這些權(quán)利,以確保安全性和業(yè)務(wù)連續(xù)性。
就像云提供了可以快速擴(kuò)展以滿足不斷變化的業(yè)務(wù)需求的彈性基礎(chǔ)架構(gòu)一樣,它也擴(kuò)展了安全管理的復(fù)雜性和數(shù)量。而且,由于同時屬于用戶和機(jī)器的身份是管理它們的云的最后一道防線,因此它們的重要性至關(guān)重要。這就是保護(hù)云安全是一個數(shù)學(xué)問題的原因:它需要分析和自動化來實(shí)現(xiàn)人類無法實(shí)現(xiàn)的目標(biāo)。這些功能可從執(zhí)行云基礎(chǔ)架構(gòu)權(quán)利管理(CIEM)和云身份管理(CIG)的產(chǎn)品中獲得。
延伸閱讀:
網(wǎng)站名稱:為什么保護(hù)云安全是一個數(shù)學(xué)問題
當(dāng)前網(wǎng)址:http://www.rwnh.cn/news13/272763.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供手機(jī)網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)、做網(wǎng)站、云服務(wù)器、企業(yè)建站、網(wǎng)站導(dǎo)航
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容