大多數組織無法完全了解用戶在云計算環境中可以做什么。他們不知道誰可以假冒其他身份來升級權限，或者將能夠獲得哪些權限——缺乏洞察力可能會使組織的業務面臨風險。

Netskope公司高級安全研究員Colin Estep大約一年前開始研究谷歌云平臺中的潛在安全漏洞。他試圖了解組織如何評估其完整身份和訪問管理(IAM)泄露，從而能夠回答這樣一個問題：你知道用戶在你的云計算環境中可以做什么嗎?

[[356305]]

Estep說，“總的來說，對于任何一個云平臺，我都很感興趣。而對于提出的這個真正基本的問題，沒有人能夠真正回答。很多人的回答是，‘不，我不知道每個用戶都能做什么。我不知道其全部功能是什么。’”

他表示，云平臺中的身份和訪問管理(IAM)的普遍問題源于云計算環境的動態性質。不斷變化的資源、正在興起的新服務，以及云計算技術快速發展，使組織很難及時了解這些新服務的含義、它們的工作方式，以及對云中各種資源權限的含義。

Estep解釋說：“這只是一件令人關注的事情。身份驗證確實是關鍵領域之一，因為如果沒有身份和訪問管理(IAM)解決方案，那么可能會泄露敏感數據、濫用或刪除資源。而在云計算環境中，各種事情都可能發生。”

Netskope公司以往一直采用AWS 云平臺，由于該公司為了滿足增加的客戶需求而開始采用谷歌云平臺。Estep發現谷歌云平臺很有趣，并且在結構和授予員工權限的方式上與AWS 云平臺有所不同。

他解釋說：“我覺得谷歌云平臺在設計布局時考慮了更多的問題……他們在云計算環境中有一個層次結構，用戶可以在這個層次結構中分配權限。”谷歌云平臺也沒有設置“拒絕”政策。Estep表示，雖然谷歌云平臺試圖簡化權限策略，但當管理員必須將不同的層放在一起以弄清楚到底發生了什么時，事情將可能會變得復雜。

這也是他決定將研究重點放在谷歌云平臺上的部分原因，這也是他將在即將舉辦的歐洲黑帽大會上發布“谷歌云平臺中的許可挖掘”演講報告的主題。

Estep說，“如果攻擊者獲得更多訪問權限，最糟糕的情況是什么?這難以想像。”作為研究的一部分，他開發了一個概念驗證工具(PoC)，供組織學習在云計算環境中授予員工的權限。當這個工具在生產環境中使用時，其應用結果比他預期的要糟糕。例如，發現了云平臺的擁有者不知道有多少用戶實際上是“影子管理員”的情況，這意味著他們可以升級權限，直到在組織級別上對云計算環境擁有完全的控制能力。Estep解釋說，谷歌云平臺有一個“組織”的概念，它是云計算環境的最高層，擁有組織管理級別的員工將會繼承所有級別的管理功能。

他說：“獲得這些權限的員工可以進入云平臺，更改日志記錄、創建資源、刪除內容、訪問所有數據，為自己添加用戶。除了刪除整個環境，他們可以做所有事情。”

通過了解誰擁有哪些權限，組織可以在發生數據泄露或其他安全事件發生之前消除風險。

服務驅動的復雜性降低了可見性

Estep指出，谷歌公司一直在關注這個問題，該公司在身份驗證與授權方面做得很好。然而，云計算提供商之間存在一個廣泛的問題，即提供更多的服務會提高復雜性。許多云計算提供商并沒有為客戶簡化流程，而是創建更多的服務，并以某種方式解決其復雜性問題。

他以附加的控件為便，這些控件聲明權限只能在特定情況下或在組織的特定部分中使用。但是，由于這些控件可能屬于不同的服務，因此超出了正常權限。這為管理員查詢用戶的權限以查看他們能夠訪問的內容帶來了問題。

Estep解釋說：“這并不是全部，因為這些外部控件會對它們產生一定的影響。這些帶來了更多復雜性的問題并非谷歌云平臺獨有。現在更讓人頭疼的是，作為用戶必須考慮到這一點，也許他們不知道存在這些問題。”

解決方案成為焦點

Estep指出，谷歌云平臺有許多層次結構和權限。為了理解這些，管理員必須同時查看所有層，這在控制臺中很難做到。其解決方案旨在為組織提供一種簡單的方法來規劃授予成員的權限、谷歌云平臺環境結構和服務帳戶。

他說，“這個項目最初是一個PoC，我想知道是否能回答‘知道所有用戶都能做什么嗎’這個問題。”Netskope公司開發的解決方案將在BHEU發布，可以檢查用戶及其權限，以了解可以模擬哪些服務帳戶。

該解決方案使用圖表來映射實體和關系，以便管理員可以查看哪些權限已附加到谷歌云平臺用戶。一旦通過API調用獲取了相關數據，該圖表就會以一種易于理解的方式映射出管理員需要的信息。雖然Estep最初不想使用圖形，但這是同時考慮許多不同層的最佳方法。

Estep表示，雖然沒有考慮其他服務的解決可見性問題的這種方法并不成熟，但希望將來集成這種功能。

他說，“我們首先將所有權限匯總在一起，然后可以開始添加。”