在多云中保護機器ID的五種技術(shù)
譯文【51CTO.com快譯】如今,越來越多的組織采用自動化技術(shù)通過云計算應(yīng)用程序?qū)崿F(xiàn)數(shù)字化轉(zhuǎn)型,而這也促使機器身份(ID)的數(shù)量快速增長。
事實上,機器身份(ID)的數(shù)量如今已經(jīng)達到人類用戶身份數(shù)量的3倍以上。雖然機器ID可以快速無誤地完成任務(wù)來提高生產(chǎn)力,但如此廣泛的應(yīng)用(采用不同的云計算應(yīng)用程序)讓組織獲得可見性和強制執(zhí)行最低權(quán)限訪問變得更加困難。這就是在多云中保護機器ID和實施機密治理至關(guān)重要的原因。如果不這樣做,將會增加組織的攻擊面,并影響業(yè)務(wù)運營。
在多云環(huán)境中,組織依靠權(quán)限過大的機器ID執(zhí)行各種任務(wù)(從運行腳本到修補漏洞),這是因為它們執(zhí)行速度快、更具成本效益,并且犯的錯誤比人類少得多。
由于自動化技術(shù)在云平臺中的廣泛采用,機器ID數(shù)量激增。而令人不安的是,在許多情況下,這些ID和權(quán)限是靜態(tài)的,有時會被硬編碼到應(yīng)用程序中,導致它們具有不必要的、過時的且無法更換的長期權(quán)限。
分布在眾多云計算環(huán)境中的大量設(shè)備導致服務(wù)帳戶、機器人和機器人流程的增加。這些需要更加一致的訪問,不斷交換權(quán)限信息,并且它們大多脫離了人為監(jiān)督。更重要的是,隨著ID越來越深入地嵌入自主和自動化流程中,它們通常會承擔高級職責。
機器ID的激增促使組織的安全團隊加強監(jiān)控和管理工作,因為了解使用哪些權(quán)限、使用頻率,以及在什么情況下使用這些權(quán)限是至關(guān)重要的。
如果組織希望充分利用自動化在多云平臺應(yīng)用的優(yōu)勢,那么成功管理ID和訪問是必不可少的。在CloudOps團隊中尤其如此,他們的工作是以極快的速度構(gòu)建和交付產(chǎn)品。當組織的任務(wù)采用自動化技術(shù)快速開發(fā)時,CloudOps團隊需要努力保持不會減慢生產(chǎn)速度。因此,將會為動態(tài)應(yīng)用程序測試等新任務(wù)創(chuàng)建新ID,但這可能會混淆管理可見性和用戶責任。
在授予訪問權(quán)限時,在內(nèi)部部署設(shè)施可能已經(jīng)擁有足夠的權(quán)限,但缺乏跨云平臺操作所需的自動化、權(quán)限訪問管理功能。而在很多時候,組織并沒有意識到與云平臺中機器ID相關(guān)的嚴重風險。如果機器ID之間的過度權(quán)限訪問普遍存在且沒有得到管理,則會擴大組織的攻擊面和風險。因此,當網(wǎng)絡(luò)攻擊者劫持過度權(quán)限的機器ID時,他們可以入侵并訪問整個運行環(huán)境。
新的Cron工作
幾十年來,機器人的訪問權(quán)限已經(jīng)被集成到計算機化流程中。因此,它們在完成重復(fù)性任務(wù)方面變得比人類更有效率。
事實上,早在上世紀90年代末,工程師就在Linux服務(wù)器上使用機器ID來運行Cron作業(yè),這需要諸如運行腳本、更新報告等批處理任務(wù)。直到現(xiàn)在,人類仍然依靠機器人來完成這些類型的任務(wù)。
問題在于,在多云環(huán)境中管理完成這些工作的機器人要復(fù)雜得多:使用數(shù)千臺機器ID的眾多云平臺缺乏可見性和控制性;安全團隊可能不知道哪些ID執(zhí)行哪些工作,因為它們是由云平臺構(gòu)建者設(shè)置的。機器人不會通過刪除基本權(quán)限來潛在地中斷運營,而是獲得許可,從而繼續(xù)使組織面臨更多的風險。
從行為的角度來看,預(yù)測與機器ID相關(guān)的活動可能很困難。畢竟,機器人偶爾會表現(xiàn)出隨機行為,完成超出其通常權(quán)限范圍的任務(wù)。但是當安全人員審核用戶ID權(quán)限時,他們會發(fā)現(xiàn)一個難以理解的ID列表,這些ID可能是必需的,也可能不是必需的。
這會導致危險的停滯。大量具有未知訪問權(quán)限的機器ID(在人為干預(yù)之外運行)會導致威脅范圍擴大。
增加可見性
組織應(yīng)該設(shè)法在所有云平臺(IaaS、DaaS、PaaS和SaaS)中獲得可見性,并控制機器ID的訪問。在理想情況下,它通過一個單一的管理平臺授予和撤銷權(quán)限。
就權(quán)限而言,組織的團隊應(yīng)該像對待人類一樣對待機器ID,并采用零持續(xù)權(quán)限(ZSP)策略。ZSP是多云安全的基準,這意味著需要取消靜態(tài)權(quán)限,撤銷權(quán)限過高的帳戶,并消除過時或無關(guān)的帳戶。
這聽起來可能是一項復(fù)雜而艱巨的任務(wù),但卻是保護云計算環(huán)境的必要步驟。幸運的是,現(xiàn)在有一些解決方案可以幫助組織增加可見性和控制權(quán),并且不會中斷業(yè)務(wù)運營。
在多云環(huán)境中降低特權(quán)機器ID風險的五種技術(shù)
(1)對所有用戶(人類和非人類)使用即時(JIT) 權(quán)限訪問
用戶和機器ID可以在會話或任務(wù)的持續(xù)時間、設(shè)定的時間期限內(nèi),或直到用戶人工重新配置文件之前,快速檢出特定云計算服務(wù)的基于角色的提升權(quán)限配置文件。而在任務(wù)完成后,這些權(quán)限將會自動撤銷。
(2)保持零持續(xù)權(quán)限(ZSP)
動態(tài)添加和刪除權(quán)限可以使組織的CloudOps團隊保持零持續(xù)權(quán)限(ZSP)安全態(tài)勢。它基于零信任的概念,這意味著在默認情況下,任何人員或事物都不受信任,并且無法獲得組織的云帳戶和數(shù)據(jù)的長期訪問權(quán)限。
(3)集中和擴展權(quán)限管理
在使用靜態(tài)ID時,最大限度地減少蔓延是一項關(guān)鍵挑戰(zhàn),如今許多CloudOps團隊都在努力使用Excel電子表格人工管理ID和權(quán)限。集中配置可以在多云中自動執(zhí)行這一過程,從而顯著降低帳戶和數(shù)據(jù)面臨的風險。
(4)通過高級數(shù)據(jù)分析(ADA)獲得統(tǒng)一訪問可見性
高級數(shù)據(jù)分析(ADA)使組織的團隊能夠通過單一管理平臺監(jiān)控多云平臺的運營環(huán)境。這一功能可識別特定于每個組織的權(quán)限訪問的問題,并為負責管理數(shù)千個用戶ID的團隊加強可見性和可靠性。
(5)將機密治理構(gòu)建到持續(xù)集成(CI)/持續(xù)交付(CD)流程中
組織可以即時授予和撤銷JIT權(quán)限,這在CloudOps團隊需要啟動臨時服務(wù)時非常理想。自動執(zhí)行通過策略調(diào)用的共享秘密輪換,并保護和簡化入職和離職流程。
而有限的可視性削弱了安全團隊的能力,讓安全管理更加復(fù)雜。而具有過度權(quán)限訪問的機器ID數(shù)量過多則意味著組織在保護多云環(huán)境時將面臨重大挑戰(zhàn)。
但是組織通過定義使用特權(quán)帳戶的用戶及其權(quán)限,取消不必要的訪問,并應(yīng)用即時權(quán)限訪問,可以確保多云環(huán)境的安全,并有效地部署自動化流程。
雖然沒有人知道云平臺使用了多少個機器ID,但這個數(shù)字正在迅速增加。這種加速增長標志著業(yè)務(wù)運營的改善,但也表明了組織對于動態(tài)和強大的安全解決方案的需求。
組織在多云環(huán)境中運營的團隊應(yīng)與安全合作伙伴合作,這些合作伙伴可以在不中斷運營的情況下提供跨云覆蓋服務(wù)。這對于維護關(guān)鍵基礎(chǔ)設(shè)施的安全性和功能性至關(guān)重要。
原文標題:Protecting Machine IDs in Multi-Cloud: 5 Techniques,作者:Art Poghosyan
【51CTO譯稿,合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】
