与流行的看法相反,云中存在安全边界。但这不是我们习惯的保护类型。由于没有网络,云中事实上的边界就是身份。这是因为攻击者破坏云安全控制所需要的只是正确的凭据。与网络安全不同,保护身份会带来一系列独特的挑战。让我们考虑前三名。身份太多与在云中保护身份相关的最大问题之一是身份太多。云不是要保护一个或少数几个网络,而是拥有成百上千或数十万个身份,这些身份代表了它们自己的个人边界。跟踪他们是一个巨大的、永无止境的库存项目,不断添加和删除用户以满足需求。身份治理是云安全的一个重要组成部分,手动完成是不可行的,尤其是因为大多数公司使用两个或更多云服务提供商。机器ID虽然我们大多数人都将身份与人类用户联系在一起,但计算机(包括虚拟机、容器和服务)具有独特的身份。事实上,在IaaS环境中,机器身份通常是人类身份的20倍。这创造了更大的防御范围。同时,许多机器身份是短暂的,是在短时间内创建的,用于执行特定任务。这种动态特性使得管理机器身份比管理人类身份更加复杂。好处现在我们已经确定了保护云以身份为中心的边界所涉及的规模,让我们考虑一个主要的安全风险因素:授权。由于每个身份都被分配了访问特定资源和执行特定操作的权限,因此具有过多权限的受损身份可能会带来严重的安全风险。授权不仅是云基础设施环境中的主要安全风险,而且在数量上也使传统企业数据中心中的任何事物相形见绌。事实上,仅在AWS中就有超过2,500种权限设置。同时,附加到个人身份的角色和组使管理云授权的任务复杂化。如前所述,大多数公司使用多个云服务提供商,因此无法手动跟踪授权。驯服野兽要控制云身份和权利,请考虑以下最佳实践:1.清单从云授权清单开始。由于云环境是动态的,因此应持续进行此评估以维护以下方面的最新记录:?机器身份,包括服务、机器实例、数据存储和机密。?管理资源、权限边界和访问控制列表的身份和访问管理(IAM)策略。?本机身份和联合身份,如AWSIAM、ActiveDirectory、Okta等。2.评估接下来,评估所有权利,以确定规定的政策与已授予的实际权利之间的不一致。进行此分析的最简单方法是通过可视化来了解哪些身份可以访问敏感资源、他们的权限是什么以及与他们关联的角色。要量化风险,请使用提供表格和图形表示并且可以过滤、搜索和查看指标和分数的工具。3.变更监控为了检测与外部威胁、恶意内部人员甚至人为错误相关的可疑活动,应尽可能持续监控资源和策略。使用检测与既定安全策略的偏差的规则,可以确定何时更改敏感权限(例如何时发生权限升级),以便生成警报。4.补救由于权利通常会影响各种业务流程和管理孤岛,因此建立补救协调流程非常重要。管道应该能够使用应用程序编程接口以自动化方式将新策略转发到云平台,或者转发到问题管理(即票务)系统以执行。同时,DevOps团队可以使用基础架构即代码(IaC)平台来推动政策变更。5.最低权限执行这最后一步是使用本地云服务提供商工具和手动方法最难实现的,因为它涉及不断分析和删除过多的权限。最小特权的目的是减少云环境的攻击面,它需要能够了解哪些权限正在使用,哪些权限未被使用,哪些权限不需要身份来执行其功能。对于与服务和基础设施相关的身份,只保留定义场景需要的那些权限,只保留那些能保证安全和业务连续性的权限。正如云提供了可以快速扩展以满足不断变化的业务需求的弹性基础设施一样,它也增加了安全管理的复杂性和数量。由于属于用户和机器的身份是管理它们的云的最后一道防线,因此它们的重要性至关重要。这就是为什么保护云是一个数学问题:它需要分析和自动化来实现人类无法实现的目标。这些功能可从执行云基础设施授权管理(CIEM)和云身份管理(CIG)的产品中获得。
