如何加固基于云凭证的身份验证

【.com快译】现在云服务无处不在。从业务的角度来看，任何想要快速成长的公司都会选择使用其首选的云服务提供商来获取计算、网络和存储资源来支持其产品。不可否认，云服务正在以指数级的速度简化其开发和自动化流程。人工智能(AI)和物联网(IoT)等新兴技术也在帮助转变这些流程。然而，虽然应用程序架构受益于云服务提供的效率、灵活性和成本优势，但它们也暴露了安全弱点。不同程度和类型的数据和信息泄露事件屡屡成为头条新闻。总的来说，以下三个因素是大多数攻击者可以利用的安全漏洞和隐患：中心化的云原生认证（verification）和鉴权（authentication）模型存在根本缺陷。数据安全和隐私架构云原生解决方案的复杂性，以及主动安全措施的固有缺陷本文将重点讨论上述第一类漏洞，并提供基本的解决方案和方法。现有弱密码身份验证机制存在的问题基于凭据的身份验证（即用户名和密码）是当前80%以上数据泄露的根本原因。但是，大多数最终用户仍会使用这种简单方便的方式来访问他们的网站和应用程序。更糟糕的是，许多DevOps和云服务工程师没有足够重视他们敏感的云生产环境。目前，越来越多的网站，例如GitHub，已经意识到了这种威胁，并逐渐放弃基于密码的认证方式。来自云端的威胁如前所述，虽然云服务的优势主要体现在灵活性、可扩展性和分布式访问上，但将数据湖、数据库、IAM（IdentityAccessManagement）等服务集中在一处，只会造成安全组件的简单堆叠，甚至相互影响。因此，任何安全工程师都应该意识到，由于体积的原因，集中在庞大的、基于云的数据湖中的数据和服务是网络黑客宁愿冒险也不愿攻击和获取的丰富资源。合理规划，提升整体安全态势。具体来说，目前的身份和密码认证方案存在以下三类漏洞：对于那些依赖用户凭证来实现访问控制的云数据库，由于它们聚合了用户身份、活动、历史等各种数据，因此单一的隐患点是自然形成的。严重依赖用户识别和授权，而忽略了这样做所使用的手段。例如，SMS和电子邮件是攻击者非常容易利用的两个渠道。最终用户体验与合规性之间的摩擦。毕竟，使用硬件令牌和仅包含短信的SFA（单因素身份验证）似乎方便了用户，但在一些对安全性要求较高的场合显然不合规。此外，就攻击本身而言，它们可以来自任何地方、任何设备、任何级别的黑客（业余或经验丰富的专业人士），以及僵尸主机、恶意软件、勒索软件甚至人工智能软件。此类攻击通常能够比负责监控的安全组件先一步得手。我们应该如何处理呢？秉承迎难而上的思想，我们来探讨一下如何基于简单的设计和网络安全建设来减少云威胁的攻击面。1.使用加密密钥代替凭证来加强访问认证。采用AES256位强加密，有效防止身份凭证被盗时敏感信息资源外泄。2.为设备绑定加密访问权限，然后为用户绑定设备我们可以通过两个简单的步骤来保证设备的安全。将密钥绑定到设备。我们可以使用多种方法，包括可信平台模块(TPM)，将加密密钥的使用唯一限制为相应设备的构造和授权。将设备与经过身份验证的用户绑定。在上一步确认设备真实性的基础上，我们可以添加一个唯一的对设备有使用权或控制权的身份角色，及其验证方式。3.将MFA（多因素认证）去中心化并绑定到设备上今天，所有的MFA最终都会依赖云端的数据库和服务器，需要有信任链（ChainofTrust）的支持才能执行.为了让云服务完全脱离单点控制，我们可以将MFA分散，分发到与设备绑定的用户端，从而消除所谓中心节点的作用。可以看出，以上三个步骤不仅大大增强了访问过程中的安全性，还减少了与终端用户潜在的“摩擦”和IT人员的支持开销。就MFA而言，首要因素是：你“知道”什么。主要体现在登录环节通过常规密码输入、一次性密码、消息推送、硬件令牌等方式对设备进行认证。更重要的是，我们应该使用基于加密设备的身份验证方法来提供另外两个强有力的因素来确保身份的合法性：你“拥有”什么？-AES256位私钥。你是谁？-将基于云的和设备上的活动监控与生物识别相结合。4.继续使用零信任的最后三个步骤足以为绝大多数身份验证用例和需求带来安全和隐私保护。但对于那些严格要求接入人员与身份对应关系的场景，我们需要引入具有“从不信任，持续验证”特点的零信任，以保障终端安全、链路安全、接入控制安全。安全加固的意义从简单的角度来看，以上四种措施可以直接大幅度减少云身份验证认证的攻击面。从长远来看，我们将获得以下三个优势：1.减少基于凭证的攻击我们熟悉的网络钓鱼、身份盗用和冒充、社会工程学等攻击方式都是基于身份凭证的。如果没有可窃取的凭据，它所呈现的攻击面就会大大减少。2.减少基于云和系统范围的攻击。按照零信任的管控方式，用户在访问资源时，需要继续一一进行认证，访问的端点设备也会一一被跟踪。显然，此举提高了大多数黑客攻击云系统和服务的门槛。3、按需升级，实现“人在环路”中的零信任认证毕竟，如今各种基于云的服务认证都需要依赖软件或端点设备来验证身份。当您的应用上下文需要对设备或用户进行实时、重复的身份验证时，您可以适当引入知道用户身份的授权人员角色，根据预先配置的自动化软件驱动流程顺利进行身份验证任务。总结综上所述，我们应该从根本上加强易受攻击的集中式云原生服务架构的安全性，而不是沿用以往“打地鼠式”的方式进行安全修复。我们希望上述的设计和构建方式能够帮助您不断填补云服务中存在的漏洞，不断提升其安全态势。原标题：通过从云端清除凭证提高安全标准，作者：GeneAllen