在多云中保护机器ID的五种技术

在多云快速增长中保护机器ID的五种技术。事实上，现在机器身份(ID)的数量是人类用户身份的三倍多。虽然机器ID可以通过快速且无错误地完成任务来提高生产率，但这种广泛采用（使用不同的云计算应用程序）使组织更难以获得可见性和强制执行最低权限访问。这就是为什么在多云中保护机器ID和实施机密性治理至关重要。如果不这样做，就会增加组织的攻击面并影响业务运营。在多云环境中，组织依赖过度特权的机器ID来执行各种任务（从运行脚本到修补漏洞），因为它们执行速度快、更具成本效益，并且比人类犯的错误少得多。由于云平台中自动化技术的广泛采用，机器ID的数量呈爆炸式增长。令人不安的是，在许多情况下，这些ID和权限是静态的，有时会硬编码到应用程序中，导致它们拥有不必要的、过时的、无法替换的长期权限。分布在众多云计算环境中的大量设备导致服务帐户、机器人和机器人进程的增加。这些需要更一致的访问，不断交换许可信息，而且它们大多不受人为监督。更重要的是，随着ID越来越深入地嵌入自主和自动化流程中，它们通常会承担高级责任。机器ID的激增正在推动组织的安全团队加强监控和管理工作，因为了解正在使用哪些权限、使用频率以及在什么情况下使用至关重要。如果组织要充分利用跨多个云的自动化优势，成功管理ID和访问至关重要。在CloudOps团队中尤其如此，他们的工作是以极快的速度构建和交付产品。当使用自动化技术快速开发组织的任务时，CloudOps团队需要努力工作以防止减慢生产速度。因此，将为动态应用程序测试等新任务创建新ID，但这可能会混淆管理可见性和用户责任。本地设施在授予访问权限时可能已经拥有足够的权限，但缺乏跨云平台运行所需的自动化、特权访问管理功能。很多时候，组织并没有意识到与云中机器ID相关的严重风险。如果跨机器ID的过度特权访问普遍存在且不受管理，则会扩大组织的攻击面和风险。因此，当网络攻击者劫持一个过度特权的机器ID时，他们可以妥协并获得对整个操作环境的访问权限。几十年来，新的CronJobs机器人访问已集成到计算机化流程中。因此，它们在完成重复性任务时变得比人类更有效率。事实上，早在20世纪90年代后期，工程师们就在Linux服务器上使用机器ID来运行cron作业，这需要运行脚本、更新报告等批处理任务。到目前为止，人类一直依赖机器人来完成这些类型的任务。问题在于，管理在多云环境中执行这些工作的机器人要复杂得多：使用数千个机器ID的众多云缺乏可见性和控制；安全团队可能不知道哪些ID执行哪些工作，因为它们由云平台构建者的Set控制。机器人不会通过删除基本权限来潜在地破坏操作，而是获得权限，从而继续使组织面临额外的风险。从行为的角度来看，预测与机器ID相关的活动可能很困难。毕竟，机器人偶尔会表现出随机行为，完成它们通常权限之外的任务。但是，当安全人员审核用户ID权限时，他们会发现一个难以理解的ID列表，这些ID可能需要也可能不需要。这可能导致危险的停滞。大量具有未知访问权限的机器ID（在人工干预之外运行）增加了威胁的范围。提高可见性组织应设法跨所有云平台（IaaS、DaaS、PaaS和SaaS）获得可见性并控制对机器ID的访问。理想情况下，它通过单一管理平台授予和撤销权限。就权限而言，组织的团队应该像对待人类一样对待机器ID，并采用零持久特权(ZSP)策略。ZSP是多云安全的基准，这意味着删除静态权限、撤销过度特权的帐户以及删除过时或不相关的帐户。这听起来像是一项复杂而艰巨的任务，但它是保护您的云计算环境的必要步骤。幸运的是，现在有一些解决方案可以帮助组织在不中断业务运营的情况下提高可见性和控制力。在多云环境中降低特权机器ID风险的五种技术(1)对所有用户（人类和非人类）使用即时(JIT)特权，以便在持续时间内访问用户和机器ID会话或任务，在设定的时间段内快速检查云中特定云计算服务的基于角色的提升权限配置文件，或者直到用户手动重新配置配置文件。任务完成后，这些权限将自动撤销。(2)维护零持久特权(ZSP)动态添加和删除特权使组织的CloudOps团队能够维护零持久特权(ZSP)安全态势。它基于零信任的概念，这意味着在默认情况下，任何人或事物都不能信任可以长期访问组织的云帐户和数据。(3)集中和扩展权限管理最大限度地减少蔓延是使用静态ID时的一个关键挑战，如今许多Clo??udOps团队都在努力使用Excel电子表格手动管理ID和权限。集中配置可跨多个云自动执行此过程，从而显着降低帐户和数据的风险。(4)通过高级数据分析(ADA)获得统一的访问可见性高级数据分析(ADA)使组织的团队能够通过单一管理平台监控多云平台的运行环境。此功能可识别每个组织特定的权限访问问题，并增强负责管理数千个用户ID的团队的可见性和可靠性。(5)在持续集成(CI)/持续交付(CD)流程中构建机密性治理组织可以即时授予和撤销JIT权限，这在CloudOps团队需要启动临时服务时非常理想。自动执行通过策略调用的共享密钥轮换，并保护和简化入职和离职流程。有限的可见性削弱了安全团队并使安全管理复杂化。拥有过多特权访问权限的大量机器ID意味着组织在保护多云环境时面临着重大挑战。但是，通过定义谁使用特权帐户及其权限、取消不必要的访问并立即应用特权访问，组织可以保护多云环境并有效地部署自动化流程。虽然没有人知道云平台使用了多少机器ID，但这个数字正在迅速增加。这种加速增长标志着业务运营的改善，但也表明需要动态和强大的安全解决方案。拥有在多云环境中运营的团队的组织应该与安全合作伙伴合作，他们可以在不中断运营的情况下提供跨云覆盖。这对于维护关键基础设施的安全性和功能性至关重要。原标题：ProtectingMachineIDsinMulti-Cloud:5Techniques，作者：ArtPoghosyan