云端自動化的廣泛采用，意味著系統ID數量的增長速度是人類用戶的兩倍。因為，在多云環境下，越權(over-privileged)的系統ID可以更快、更高效地執行從運行腳本到修補漏洞的各項任務，而且其犯的錯誤比人類用戶少。雖然系統ID可以快速無誤地完成任務并提高生產力，但這種跨不同云應用程序的廣泛使用，使組織很難獲得對系統ID的可見性，及強制執行最低權限訪問。這就是為什么跨云管控系統ID和實施機密管理至關重要的原因，不這么做會加大組織的攻擊面，并危及業務運營。

系統ID數量的激增，需要安全團隊加強監管工作，因為了解使用哪些權限、使用多頻繁以及在什么情況下使用至關重要。如果組織打算充分享用跨云自動化的好處，就必須成功地管理身份和訪問。這在CloudOps團隊中尤其如此，他們的工作是迅速地構建和交付產品，云構建團隊為了不阻礙開發效率，會為新任務(比如應用程序動態測試)創建新的系統ID，這可能妨礙管理的可見性和用戶責任制。很多時候，組織往往意識不到到云端系統ID方面的嚴重風險。如果組織中普遍存在系統ID訪問權限過大且不受管理的情況，就會加大其攻擊面和風險。一旦攻擊者劫持了權限過大的身份，就可以橫向移動，進而訪問整個環境。

例如，早在上世紀90年代后期，工程師就在Linux上使用服務ID來運行cron job(計劃任務)，這需要運行腳本和更新報告之類的批處理任務。直到今天，人類仍依靠系統完成這些類型的任務。問題在于，在現代多云環境下，管理完成這些工作的系統要復雜得多——組織使用眾多平臺的數千個系統ID，使其缺乏可見性和控制度，安全團隊可能不知道哪些ID執行哪些工作，因為它們是由云構建者設置的，這就大大增加了攻擊者的攻擊面。

從行為的角度來看，預測與系統ID相關的活動可能很困難。畢竟，系統偶爾會出現隨機行為，完成超出通常職責范圍的任務。但是當安全負責人試圖審核ID用戶權限時，他們會發現一長串費解的可能沒必要的ID。這導致危險的停滯狀態。如果組織中有太多權限訪問數量不明的系統ID在人為干預之外運行，會導致威脅加大。組織應設法獲得跨所有云平臺(IaaS、DaaS、PaaS和SaaS)的可見性，并控制系統ID的特權訪問。

理想情況下，這種管控來自單一的管理平臺，授予和撤銷權限就像點擊按鈕一樣簡單。至于系統ID的權限，安全團隊應該像對待人一樣對待系統ID，采用零常設權限(ZSP)政策——ZSP是多云安全的基準。這意味著摒棄靜態權限或機密、撤銷越權帳戶，以及消除過時或不必要的帳戶。這聽起來像是復雜而艱巨的任務，卻是保護云環境的必要步驟。幸好，現在有幾種解決方案可以幫助組織獲得可見性、實施控制以及不中斷業務運營。

降低多云環境下越權系統ID風險的五種手段

1. 對所有用戶(人類和非人類)使用即時(JIT)權限訪問

無論在會話或任務持續期間、或是指定的時間段內，還是用戶手動重新核查配置文件，都需要對所有用戶(用戶和機器ID)使用即時(JIT)權限訪問，一旦任務完成，這些權限就被自動撤銷。

2. 保持零常設權限

動態添加和刪除權限，使企業CloudOps團隊能夠保持零常設權限(ZSP)安全態勢。它適用于零信任概念，意味著在默認情況下，沒有任何人或設備可以一直訪問企業的云帳戶和數據。

3. 集中和擴展權限管理

使用靜態身份時，盡量減少散亂現象是一大挑戰，如今許多CloudOps團隊在努力使用 Excel電子表格來手動管理ID和權限。集中式配置可以跨所有云資源自動執行這個過程，從而大大降低出錯、及帳戶和數據面臨更大風險的可能性。

4. 借助高級數據分析(ADA)獲得統一的訪問可見性

ADA使團隊能夠從單一管理平臺跨所有平臺監控整個環境，這項功能可識別每個組織特定的權限訪問問題，并讓負責管理數千個用戶ID的安全團隊能夠做到心中有數。

5. 將機密管理引入到CI/CD流程中

可以實時授予和撤銷JIT機密，這在CloudOps需要啟動臨時服務時很理想，它自動執行通過策略來調用的共享機密輪換機制，并保護和簡化入職和離職流程。

有限的可見性阻礙了安全團隊，并加劇了原本很復雜的情形。擁有越權訪問的系統ID過多，意味著組織在保護多云環境時面臨重大挑戰。但是如果能定義誰在什么權限下使用特權帳戶、撤銷不必要的訪問，以及運用即時權限訪問，組織就可以保護多云環境，并放心地部署自動化流程。

沒人知道如今在云端到底使用了多少系統ID，我們只知道這個數字在迅速增加。雖然這種增加表明了業務運營有所改善，但也表明了需要動態可靠的安全解決方案。多云環境下工作的團隊應與能夠跨云環境確保安全，又不干擾運營的安全合作伙伴合作。這對于確保關鍵基礎設施的安全性和功能性至關重要。

參考鏈接：https://www.eweek.com/enterprise-apps/protecting-machine-ids-in-multi-cloud-5-techniques/

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文