当前位置: 首页 > 科技观察

为什么云安全风险正在转移到身份和授权?

时间:2023-03-16 18:08:19 科技观察

身份已成为云中的主要攻击面。然而,身份保护仍然缺乏,因为传统工具主要用于边界保护,而不是用户或服务帐户。Gartner预测,到2023年,由于身份、访问和特权帐户管理不当而导致的安全问题将从2020年的50%增加到75%。这种情况是由多种因素造成的。更常见的原因之一是授权过多或不必要——为攻击者提供了近百种攻击方式。在云中跟踪授权可能是一项劳动密集型且耗时的工作,但许多组织希望更好地完成这项任务——这是可以理解的,因为大多数云原生平台工具目前无法提供对权限和活动的有效可见性。可视化或关联功能。另一方面,大多数IAM工具,例如身份治理和管理(IGA)和权限管理(PAM),通常仅限于已部署的架构;并且在迁移到云端时,这些解决方案缺乏粒度和资源级可视化能力来识别或修复访问风险和过度权限。因此,许多组织使用一些相对有限的安全工具,如CSPM、CASB、CWPP等,这些工具要么过于宽泛,要么过于狭隘,要么为所有身份访问提供访问风险分析。保护云身份安全的三个步骤云架构需要对所有身份有统一、深入的了解,了解全栈访问权限和特权及其相关风险。第一步是发现所有权限,包括人员、机器、他们可以访问的资源以及相关权限。这种可见性可能导致过多或不必要的权限、错误配置、网络暴露和其他异常情况。这包括识别身份类型,包括用户、服务、第三方应用程序和外部身份提供者;还需要评估相关权限,以及权限管理、数据泄露、架构调整、提权、嗅探因子等风险。拥有这种可见性可以持续消除过度授权并降低外部或内部恶意行为者的风险。下一步是评估特定实体,例如IAM角色和组,以确定给定的访问和权限是否有效,或是否需要修改。这不仅限于有关实体的一般信息,还需要包含该实体所有许可证的详细信息。反向也可用于识别资源——通过数据、计算机、安全或管理等;这些也是敏感的,因此有必要了解哪些用户和角色可以访问它们。其中包括访问权限和网络配置,以便进行可靠的风险评估。例如,一个数据库可能看起来存在安全风险,但通过网络配置的一些授权保护可以消除这种风险。最后一步是监控身份活动日志和资源,以更广泛地了解公共云环境;这有助于进一步了解权限使用情况以调查可疑访问和事件。一些新工具传统的云安全工具,如CASB、CSPM和CWPP并非旨在解决这些问题——Gartner将这些问题称为云基础设施授权管理(CIEM),Forrester将其称为云基础设施授权管理(CIEM)治理(CloudInfrastructure治理,CIG)。现在需要的是实现最小特权概念的云原生功能。