云自动化的广泛采用意味着系统ID数量的增长速度是人类用户的两倍。因为,在多云环境中,拥有过度特权的系统ID可以更快、更高效地执行从运行脚本到修补漏洞的任务,并且比人类用户的错误更少。虽然系统ID可以快速无误地完成工作并提高工作效率,但这种在不同云应用程序中的广泛使用使组织难以获得对系统ID的可见性并强制执行最低权限访问。这就是管理系统ID和跨云实施机密性管理至关重要的原因,因为不这样做会增加组织的攻击面并危及业务运营。系统ID的激增需要安全团队加强监督,因为了解使用哪些权限、频率以及在什么情况下使用至关重要。如果组织要充分利用跨云自动化的好处,就必须成功管理身份和访问权限。在CloudOps团队中尤其如此,他们的工作是快速构建和交付产品。云构建团队为新任务(例如应用程序动态测试)创建新系统ID,以免影响开发生产力,这可能会妨碍管理。可见性和用户责任。很多时候,组织没有意识到与云中的系统ID相关的严重风险。如果组织中普遍存在过多和不受管理的系统ID访问,则会增加其攻击面和风险。一旦攻击者劫持了一个过度特权的身份,他们就可以横向移动以访问整个环境。例如,早在1990年代后期,工程师就在Linux上使用服务ID来运行cron作业(计划任务),这需要运行脚本和更新报告等批处理任务。时至今日,人类仍依赖系统来完成这些类型的任务。问题在于,在现代多云环境中,管理执行这项工作的系统要复杂得多——组织在众多平台上使用数千个系统ID,使它们几乎没有可见性和控制力,安全团队可能不知道哪个ID做什么。之所以有效,是因为它们是由云构建者设置的,这大大增加了攻击者的攻击面。从行为的角度来看,预测与系统ID关联的活动可能很困难。毕竟,系统偶尔会随机运行,完成其通常职权范围之外的任务。但是,当安全负责人试图审核ID用户权限时,他们会发现一长串可能不必要的ID令人费解。这会导致危险的停滞。如果组织对在没有人为干预的情况下运行的未知数量的系统ID拥有过多的特权访问权限,则可能会增加威胁。组织应寻求跨所有云平台(IaaS、DaaS、PaaS和SaaS)的可见性,并控制对系统ID的特权访问。理想情况下,此控件来自单一管理面板,授予和撤销权限就像单击按钮一样简单。对于系统ID的权限,安全团队应该像对待人一样对待系统ID,采用零站立特权(ZSP)策略——ZSP是多云安全的基准。这意味着取消静态权限或秘密,撤销过度特权的帐户,并消除过时或不必要的帐户。这听起来像是一项复杂而艰巨的任务,但它是保护云环境的必要步骤。幸运的是,现在有多种解决方案可以帮助组织获得可见性、控制力和无中断的业务运营。在多云环境中降低未授权系统ID风险的五种方法1.对所有用户(人类和非人类)使用即时(JIT)权限访问审计配置文件需要即时(JIT))所有用户(用户和机器ID)的特权访问权限,一旦任务完成,这些权限将自动撤销。2.保持零特权动态添加和删除特权,使企业CloudOps团队能够保持零特权(ZSP)安全态势。它基于零信任的概念,这意味着默认情况下,任何人或设备始终无法访问公司的云帐户和数据。3.集中和扩展权限管理在使用静态身份时,最大限度地减少蔓延是一个挑战,如今许多Clo??udOps团队都在努力使用Excel电子表格手动管理ID和权限。集中配置可跨所有云资源自动执行此过程,从而大大降低出错的可能性以及帐户和数据面临的更大风险。4.通过高级数据分析(ADA)获得统一的访问可见性ADA使团队能够从单一管理平台跨所有平台监控整个环境。拥有用户ID的安全团队可以做得很好。5、在CI/CD流程中引入secret管理,可以实时授予和撤销JITsecret,这在CloudOps需要启动临时服务时非常理想。它使通过策略调用的共享秘密轮换机制自动化,并保护和简化入职和退出流程。有限的可见性阻碍了安全团队,并加剧了本已复杂的情况。具有未经授权访问的大量系统ID意味着组织在保护多云环境时面临着重大挑战。但是,由于能够定义谁在什么权限下使用特权帐户、撤销不必要的访问以及应用即时特权访问,组织可以保护多云环境并自信地部署自动化流程。没有人确切知道今天在云中使用了多少系统ID,我们只知道这个数字正在迅速增加。虽然这种增长表明业务运营得到改善,但也表明需要动态和可靠的安全解决方案。在多云环境中工作的团队应与安全合作伙伴合作,后者可以在不中断运营的情况下确保跨云环境的安全性。这对于确保关键基础设施的安全性和功能性至关重要。参考链接:https://www.eweek.com/enterprise-apps/protecting-machine-ids-in-multi-cloud-5-techniques/牛(微信公众号id:gooann-sectv)获取授权】点击在这里阅读作者更多的好文章
