在之前的文章中,我們瞭解了在程式碼釋出到 GitHub 之前如何管理使用者許可權。但你知道嗎?人為錯誤竟然是迄今為止資料洩露的主要原因!根據統計,高達95%的資料洩露是由配置錯誤和不良網路環境引起的。駭客通常不會透過暴力破解弱系統或發現軟體漏洞來進入系統,而是透過敏感資訊和漏洞來獲得絕大多數訪問許可權。
那麼如何防止這種情況發生?身份和訪問管理(Identity and Access Management, IAM)能如何幫助企業避免緩解此類風險呢?
身份和訪問管理不當的代價
身份和訪問管理(IAM)是網路安全的核心。沒有認證和授權,網路安全就無法實現。管理訪問者的身份和許可權是每個連線安全系統的核心。全球知名企業 Cisco 因未妥善管理和撤銷離職員工的系統訪問許可權,在該員工離職整整5個月內造成了約140萬美元的損失。但如果身份和訪問許可權管理得當,就可以防止類似這樣的事件。
無獨有偶,知名軟體公司 Sage 由於未能管理好員工訪問許可權,員工在未授權的情況下可直接訪問公司敏感資訊,最終導致近三百個重要客戶的資訊洩漏。如果該公司採用最小許可權的訪問政策,且對使用者訪問進行持續監控,就能有效減少或避免損失。
企業需要知道的5個 IAM 最佳實踐
1. 防止敏感資訊洩露原則
防止憑據和程式碼洩露是首要任務。可以嘗試使用敏感資訊掃描工具,透過位置、習慣和行為等,來檢測憑據和程式碼的使用情況。
此外,在工作場所或公司內網進行教育和安全宣講,提高員工資訊保安意識,由此來防止資料洩露。Secret Vault 等工具有助於保護 API 和加密金鑰,多重身份驗證(Multi-Factor Authentication)也可以有效降低敏感資訊洩露的風險。
2. 使用第三方工具
合理使用第三方工具可以有效提高 IAM 管理效率,但同樣也要警惕其潛在風險。因此,擁有一套多雲解決方案很重要,這能夠使 IAM 工具和平臺保持分離,DevSecOps 團隊也可以免受各種來源的通知轟炸。需要注意的是,企業要確保這些第三方工具本身是安全的。開源安全工具有其一席之地,但也有其潛在使用風險。
3. 多重身份驗證和單點登入
在考慮安全性,涉及到 IAM 時,單點登入 (Single Sign-On, SSO)必不可少。SSO 透過集中式授權管理所有資源和平臺的訪問許可權,讓使用者監管工作更加便捷。在使用 SSO 時,使用者只需記住一個密碼,因此不論是對管理員還是使用者來說密碼管理會容易一些。
多重身份驗證(MFA)能夠為企業安全提供額外的保護層,阻止已遭洩露的密碼所關聯的訪問許可權。即便知道使用者的密碼,也需要員工使用其他裝置(如手機)進行身份驗證。由此,安全團隊能夠有效對訪問進行和使用者身份進行監管和控制。
4. 強制實施最小許可權訪問控制
當資料洩露發生時,被授權訪問敏感資訊的人員越少,造成的損失就越小。透過嚴格限制敏感資訊訪問,潛在的違規行為就能夠被有效管理和限制。企業的 IAM 策略需要明確一點:沒有人需要訪問所有內容的許可權。
最小許可權訪問控制不僅僅適用非技術人員,技術人員也應同樣納入管理。有時企業認為賦予開發人員不受限制的訪問許可權能夠幫助他們更好地完成開發工作,因此部分開發人員擁有全面訪問許可權。但事實並非如此。根據員工的工作職能和範圍授予有限且匹配的訪問許可權,有時也能夠加強團隊間的協作(因為他們需要其他團隊的幫助來獲得更完整的資訊)。當開發人員想要對軟體進行改進而沒有訪問許可權時,他們需要先找到對應許可權的專家進行討論,確認無誤後由擁有對應許可權的人員進行更改,保障了產品的完整性和準確性。
圖片來源: AWS
5. 軟體開發生命週期內的許可權監管
嚴格監管使用者行為和活動十分必要。這可以幫助企業清晰地掌握內部資訊資源的使用情況。根據人員需求合理分配訪問許可權能夠有效節省運營成本。在雲安全方面,明確和清晰訪問許可權的使用有助於最小訪問許可權策略的執行。
圖片來源:Veritis
首先,確保使用者能夠訪問他們需要的內容,並且只訪問他們需要的內容。防止不必要的訪問是在發生資料洩露的關鍵。在沒有掌握訪問人員及其許可權的資訊下,企業無法保障資訊保安。因此需要啟用 MFA 和 SSO,確保訪問與身份嚴格繫結。
在 SDLC 期間持續進行訪問監控,確保對使用者行為和資訊資源使用情況瞭如指掌。對於不確定的訪問行為和資訊使用情況,需要及時進行調查和記錄,切勿猜測!往往人為錯誤才是造成敏感資訊洩露的主要因素!