在多云中保護(hù)機(jī)器ID的五種技術(shù)

譯文
作者：李睿 2021-09-14 08:00:00

云計(jì)算 如今，越來(lái)越多的組織采用自動(dòng)化技術(shù)通過(guò)云計(jì)算應(yīng)用程序?qū)崿F(xiàn)數(shù)字化轉(zhuǎn)型，而這也促使機(jī)器身份（ID）的數(shù)量快速增長(zhǎng)。

成都創(chuàng)新互聯(lián)專(zhuān)注于浦江網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供浦江營(yíng)銷(xiāo)型網(wǎng)站建設(shè)，浦江網(wǎng)站制作、浦江網(wǎng)頁(yè)設(shè)計(jì)、浦江網(wǎng)站官網(wǎng)定制、微信小程序開(kāi)發(fā)服務(wù)，打造浦江網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供浦江網(wǎng)站排名全網(wǎng)營(yíng)銷(xiāo)落地服務(wù)。

【51CTO.com快譯】如今，越來(lái)越多的組織采用自動(dòng)化技術(shù)通過(guò)云計(jì)算應(yīng)用程序?qū)崿F(xiàn)數(shù)字化轉(zhuǎn)型，而這也促使機(jī)器身份(ID)的數(shù)量快速增長(zhǎng)。

事實(shí)上，機(jī)器身份(ID)的數(shù)量如今已經(jīng)達(dá)到人類(lèi)用戶(hù)身份數(shù)量的3倍以上。雖然機(jī)器ID可以快速無(wú)誤地完成任務(wù)來(lái)提高生產(chǎn)力，但如此廣泛的應(yīng)用(采用不同的云計(jì)算應(yīng)用程序)讓組織獲得可見(jiàn)性和強(qiáng)制執(zhí)行最低權(quán)限訪問(wèn)變得更加困難。這就是在多云中保護(hù)機(jī)器ID和實(shí)施機(jī)密治理至關(guān)重要的原因。如果不這樣做，將會(huì)增加組織的攻擊面，并影響業(yè)務(wù)運(yùn)營(yíng)。

在多云環(huán)境中，組織依靠權(quán)限過(guò)大的機(jī)器ID執(zhí)行各種任務(wù)(從運(yùn)行腳本到修補(bǔ)漏洞)，這是因?yàn)樗鼈儓?zhí)行速度快、更具成本效益，并且犯的錯(cuò)誤比人類(lèi)少得多。

由于自動(dòng)化技術(shù)在云平臺(tái)中的廣泛采用，機(jī)器ID數(shù)量激增。而令人不安的是，在許多情況下，這些ID和權(quán)限是靜態(tài)的，有時(shí)會(huì)被硬編碼到應(yīng)用程序中，導(dǎo)致它們具有不必要的、過(guò)時(shí)的且無(wú)法更換的長(zhǎng)期權(quán)限。

分布在眾多云計(jì)算環(huán)境中的大量設(shè)備導(dǎo)致服務(wù)帳戶(hù)、機(jī)器人和機(jī)器人流程的增加。這些需要更加一致的訪問(wèn)，不斷交換權(quán)限信息，并且它們大多脫離了人為監(jiān)督。更重要的是，隨著ID越來(lái)越深入地嵌入自主和自動(dòng)化流程中，它們通常會(huì)承擔(dān)高級(jí)職責(zé)。

機(jī)器ID的激增促使組織的安全團(tuán)隊(duì)加強(qiáng)監(jiān)控和管理工作，因?yàn)榱私馐褂媚男?quán)限、使用頻率，以及在什么情況下使用這些權(quán)限是至關(guān)重要的。

如果組織希望充分利用自動(dòng)化在多云平臺(tái)應(yīng)用的優(yōu)勢(shì)，那么成功管理ID和訪問(wèn)是必不可少的。在CloudOps團(tuán)隊(duì)中尤其如此，他們的工作是以極快的速度構(gòu)建和交付產(chǎn)品。當(dāng)組織的任務(wù)采用自動(dòng)化技術(shù)快速開(kāi)發(fā)時(shí)，CloudOps團(tuán)隊(duì)需要努力保持不會(huì)減慢生產(chǎn)速度。因此，將會(huì)為動(dòng)態(tài)應(yīng)用程序測(cè)試等新任務(wù)創(chuàng)建新ID，但這可能會(huì)混淆管理可見(jiàn)性和用戶(hù)責(zé)任。

在授予訪問(wèn)權(quán)限時(shí)，在內(nèi)部部署設(shè)施可能已經(jīng)擁有足夠的權(quán)限，但缺乏跨云平臺(tái)操作所需的自動(dòng)化、權(quán)限訪問(wèn)管理功能。而在很多時(shí)候，組織并沒(méi)有意識(shí)到與云平臺(tái)中機(jī)器ID相關(guān)的嚴(yán)重風(fēng)險(xiǎn)。如果機(jī)器ID之間的過(guò)度權(quán)限訪問(wèn)普遍存在且沒(méi)有得到管理，則會(huì)擴(kuò)大組織的攻擊面和風(fēng)險(xiǎn)。因此，當(dāng)網(wǎng)絡(luò)攻擊者劫持過(guò)度權(quán)限的機(jī)器ID時(shí)，他們可以入侵并訪問(wèn)整個(gè)運(yùn)行環(huán)境。

新的Cron工作

幾十年來(lái)，機(jī)器人的訪問(wèn)權(quán)限已經(jīng)被集成到計(jì)算機(jī)化流程中。因此，它們?cè)谕瓿芍貜?fù)性任務(wù)方面變得比人類(lèi)更有效率。

事實(shí)上，早在上世紀(jì)90年代末，工程師就在Linux服務(wù)器上使用機(jī)器ID來(lái)運(yùn)行Cron作業(yè)，這需要諸如運(yùn)行腳本、更新報(bào)告等批處理任務(wù)。直到現(xiàn)在，人類(lèi)仍然依靠機(jī)器人來(lái)完成這些類(lèi)型的任務(wù)。

問(wèn)題在于，在多云環(huán)境中管理完成這些工作的機(jī)器人要復(fù)雜得多：使用數(shù)千臺(tái)機(jī)器ID的眾多云平臺(tái)缺乏可見(jiàn)性和控制性;安全團(tuán)隊(duì)可能不知道哪些ID執(zhí)行哪些工作，因?yàn)樗鼈兪怯稍破脚_(tái)構(gòu)建者設(shè)置的。機(jī)器人不會(huì)通過(guò)刪除基本權(quán)限來(lái)潛在地中斷運(yùn)營(yíng)，而是獲得許可，從而繼續(xù)使組織面臨更多的風(fēng)險(xiǎn)。

從行為的角度來(lái)看，預(yù)測(cè)與機(jī)器ID相關(guān)的活動(dòng)可能很困難。畢竟，機(jī)器人偶爾會(huì)表現(xiàn)出隨機(jī)行為，完成超出其通常權(quán)限范圍的任務(wù)。但是當(dāng)安全人員審核用戶(hù)ID權(quán)限時(shí)，他們會(huì)發(fā)現(xiàn)一個(gè)難以理解的ID列表，這些ID可能是必需的，也可能不是必需的。

這會(huì)導(dǎo)致危險(xiǎn)的停滯。大量具有未知訪問(wèn)權(quán)限的機(jī)器ID(在人為干預(yù)之外運(yùn)行)會(huì)導(dǎo)致威脅范圍擴(kuò)大。

增加可見(jiàn)性

組織應(yīng)該設(shè)法在所有云平臺(tái)(IaaS、DaaS、PaaS和SaaS)中獲得可見(jiàn)性，并控制機(jī)器ID的訪問(wèn)。在理想情況下，它通過(guò)一個(gè)單一的管理平臺(tái)授予和撤銷(xiāo)權(quán)限。

就權(quán)限而言，組織的團(tuán)隊(duì)?wèi)?yīng)該像對(duì)待人類(lèi)一樣對(duì)待機(jī)器ID，并采用零持續(xù)權(quán)限(ZSP)策略。ZSP是多云安全的基準(zhǔn)，這意味著需要取消靜態(tài)權(quán)限，撤銷(xiāo)權(quán)限過(guò)高的帳戶(hù)，并消除過(guò)時(shí)或無(wú)關(guān)的帳戶(hù)。

這聽(tīng)起來(lái)可能是一項(xiàng)復(fù)雜而艱巨的任務(wù)，但卻是保護(hù)云計(jì)算環(huán)境的必要步驟。幸運(yùn)的是，現(xiàn)在有一些解決方案可以幫助組織增加可見(jiàn)性和控制權(quán)，并且不會(huì)中斷業(yè)務(wù)運(yùn)營(yíng)。

在多云環(huán)境中降低特權(quán)機(jī)器ID風(fēng)險(xiǎn)的五種技術(shù)

(1)對(duì)所有用戶(hù)(人類(lèi)和非人類(lèi))使用即時(shí)(JIT) 權(quán)限訪問(wèn)

用戶(hù)和機(jī)器ID可以在會(huì)話或任務(wù)的持續(xù)時(shí)間、設(shè)定的時(shí)間期限內(nèi)，或直到用戶(hù)人工重新配置文件之前，快速檢出特定云計(jì)算服務(wù)的基于角色的提升權(quán)限配置文件。而在任務(wù)完成后，這些權(quán)限將會(huì)自動(dòng)撤銷(xiāo)。

(2)保持零持續(xù)權(quán)限(ZSP)

動(dòng)態(tài)添加和刪除權(quán)限可以使組織的CloudOps團(tuán)隊(duì)保持零持續(xù)權(quán)限(ZSP)安全態(tài)勢(shì)。它基于零信任的概念，這意味著在默認(rèn)情況下，任何人員或事物都不受信任，并且無(wú)法獲得組織的云帳戶(hù)和數(shù)據(jù)的長(zhǎng)期訪問(wèn)權(quán)限。

(3)集中和擴(kuò)展權(quán)限管理

在使用靜態(tài)ID時(shí)，最大限度地減少蔓延是一項(xiàng)關(guān)鍵挑戰(zhàn)，如今許多Clo??udOps團(tuán)隊(duì)都在努力使用Excel電子表格人工管理ID和權(quán)限。集中配置可以在多云中自動(dòng)執(zhí)行這一過(guò)程，從而顯著降低帳戶(hù)和數(shù)據(jù)面臨的風(fēng)險(xiǎn)。

(4)通過(guò)高級(jí)數(shù)據(jù)分析(ADA)獲得統(tǒng)一訪問(wèn)可見(jiàn)性

高級(jí)數(shù)據(jù)分析(ADA)使組織的團(tuán)隊(duì)能夠通過(guò)單一管理平臺(tái)監(jiān)控多云平臺(tái)的運(yùn)營(yíng)環(huán)境。這一功能可識(shí)別特定于每個(gè)組織的權(quán)限訪問(wèn)的問(wèn)題，并為負(fù)責(zé)管理數(shù)千個(gè)用戶(hù)ID的團(tuán)隊(duì)加強(qiáng)可見(jiàn)性和可靠性。

(5)將機(jī)密治理構(gòu)建到持續(xù)集成(CI)/持續(xù)交付(CD)流程中

組織可以即時(shí)授予和撤銷(xiāo)JIT權(quán)限，這在CloudOps團(tuán)隊(duì)需要啟動(dòng)臨時(shí)服務(wù)時(shí)非常理想。自動(dòng)執(zhí)行通過(guò)策略調(diào)用的共享秘密輪換，并保護(hù)和簡(jiǎn)化入職和離職流程。

而有限的可視性削弱了安全團(tuán)隊(duì)的能力，讓安全管理更加復(fù)雜。而具有過(guò)度權(quán)限訪問(wèn)的機(jī)器ID數(shù)量過(guò)多則意味著組織在保護(hù)多云環(huán)境時(shí)將面臨重大挑戰(zhàn)。

但是組織通過(guò)定義使用特權(quán)帳戶(hù)的用戶(hù)及其權(quán)限，取消不必要的訪問(wèn)，并應(yīng)用即時(shí)權(quán)限訪問(wèn)，可以確保多云環(huán)境的安全，并有效地部署自動(dòng)化流程。

雖然沒(méi)有人知道云平臺(tái)使用了多少個(gè)機(jī)器ID，但這個(gè)數(shù)字正在迅速增加。這種加速增長(zhǎng)標(biāo)志著業(yè)務(wù)運(yùn)營(yíng)的改善，但也表明了組織對(duì)于動(dòng)態(tài)和強(qiáng)大的安全解決方案的需求。

組織在多云環(huán)境中運(yùn)營(yíng)的團(tuán)隊(duì)?wèi)?yīng)與安全合作伙伴合作，這些合作伙伴可以在不中斷運(yùn)營(yíng)的情況下提供跨云覆蓋服務(wù)。這對(duì)于維護(hù)關(guān)鍵基礎(chǔ)設(shè)施的安全性和功能性至關(guān)重要。

文章名稱(chēng)：在多云中保護(hù)機(jī)器ID的五種技術(shù)
當(dāng)前路徑：http://www.fisionsoft.com.cn/article/djjdiie.html