根据云计算权威组织云安全联盟(CSA)对241位行业专家的最新调查显示,云计算资源的错误配置是导致组织数据泄露的主要原因。那么造成这种风险的主要原因是什么?由于数据的庞大规模,在云中管理身份及其权限极具挑战性。这不仅仅是人们的用户身份,还有设备、??应用程序和服务。由于这种复杂性,许多组织都会犯错误。随着许多组织在没有建立有效分配和管理权限的能力的情况下扩展他们的云计算,这个问题随着时间的推移而变得越来越严重。因此,用户和应用程序往往会积累远远超过技术和业务要求的权限,从而造成巨大的权限差距。例如,美国国防部军事数据库于2017年泄露,其中包含美国中央司令部(CENTCOM)和太平洋司令部(PACOM)从社交媒体、新闻网站、论坛和其他公开网站收集的18亿条条目。以上网帖,美国国防部两个统一作战司令部负责美军在中东、亚洲和南太平洋地区的军事行动的同时,配置了三个AWSS3云存储桶,允许任意AWS全球认证用户浏览和下载内容,该类AWS账号可通过免费注册获得。关注权限为了减轻与在云中滥用身份相关的风险,组织正在尝试实施最小特权原则。理想情况下,每个用户或应用程序都应限制为所需的确切权限。从理论上讲,这个过程应该很简单。第一步是了解已为给定用户或应用程序分配了哪些权限。接下来,您应该盘点实际使用了哪些权限。两者的比较揭示了权限差距,哪些权限应该保留,哪些应该修改或删除。这可以通过多种方式完成。可以删除或监视和警告被认为过多的权限。通过不断地重新检查环境并删除未使用的权限,组织可以随着时间的推移在云中实现最低权限。然而,在复杂的云计算环境中确定每个应用程序所需的精确权限所需的工作可能既费力又昂贵。了解身份和访问管理(IAM)控制以世界上最受欢迎的AWS云平台为例,它提供了可用的最精细的身份和访问管理(IAM)系统之一。AWSIAM是一个强大的工具,使管理员能够安全地配置对AWS云计算资源的访问。IdentityandAccessManagement(IAM)控件拥有超过2,500个权限(并且还在增加),使用户可以精细控制对AWS云平台中给定资源执行的操作。毫不奇怪,这种级别的控制给开发人员和DevOps团队带来了同等(有些人可能会说更高)的复杂性。在AWS云平台中,它的作用是充当机器身份。需要授予特定于应用程序的权限,并将访问策略附加到相关角色。这些可以是云计算服务提供商(CSP)创建的托管策略,也可以是AWS云平台客户创建的内联策略。担任可以分配多个访问策略或服务于多个应用程序的角色会使“最小权限”之旅更具挑战性。有几种情况可以说明这一点。(1)单一应用-单一角色:应用使用具有不同托管和内联策略的角色,授予访问AmazonElastiCache、RDS、DynamoDB和S3服务的权限。我如何知道实际使用了哪些权限?完成后,如何正确调整角色大小?我是否将托管策略替换为内联策略?我是否编辑现有的内联策略?我是否制定自己的新政策?(2)两个应用程序——单一角色:两个不同的应用程序共享同一个角色。假定此角色有权访问AmazonElastiCache、RDS、DynamoDB和S3服务。但是当第一个应用程序使用RDS和ElastiCache服务时,第二个应用程序使用ElastiCache、DynamoDB和S3。因此,要实现最小特权,正确的操作是角色拆分而不是简单的角色调整大小。在这种情况下,作为第二步,将在角色拆分后进行角色权限调整。(3)当应用程序使用一个没有任何敏感权限的角色,但该角色有权承担其他更特权的角色时,就会出现角色链接。如果特权更高的角色可以访问各种服务,例如AmazonElastiCache、RDS、DynamoDB和S3,您如何知道原始应用程序实际使用了哪些服务?在应用有角色的情况下,限制应用的权限?一个名为AccessAdvisor的AWS工具允许管理员调查给定角色访问的服务列表并验证它们的使用方式。但是,仅依靠AccessAdvisor并不能解决访问权限与解决许多策略决策所需的个人资源之间的问题。为此,需要对CloudTrail日志以及计算管理基础架构有深入的了解。关于云中的最低权限,最后要记住的是原生AWSIAM访问控制。在将访问权限映射到资源时,还需要考虑其他几个问题,包括间接或应用程序级访问。可以看出,在云中实施最低权限以最大限度地降低导致数据泄露或服务中断的访问风险对于许多组织而言可能并不可行。新技术正在弥合这一治理差距,通过使用软件自动监控、评估和调整对所有身份(用户、设备、应用程序等)的访问权限来消除风险。
