雲安全風險為何轉向身份與授權?
身份已經成為雲端的主要攻擊面。然而,身份的保護依然非常缺乏,因為傳統工具主要被用於邊界防護,而非使用者或者服務賬戶。
Gartner預測,到2023年,因身份、接入和特權賬戶缺乏妥善管理造成的安全問題,會從2020年50%上升到75%。這個情況是由多個因素導致的,一個比較常見的原因是過多、或者無必要的授權——給攻擊者提供了近百種攻擊的方式。
追蹤雲端的授權會消耗大量的人力和時間,但許多組織會希望能將這項任務完成得更好——這不難理解,畢竟當前大部分雲原生平臺的工具無法為許可權和活動提供有效的視覺化或者關聯能力。
而另一方面,大部分IAM工具,比如身份治理與管理(IGA)和特權管理(PAM),一般都侷限於部署好的架構中;而當向雲端遷移的時候,這些解決方案缺乏顆粒度和資源級的視覺化能力,對接入風險和過當許可進行識別或者修復。
因此,許多組織使用了一些相對有限的安全工具,比如CSPM、CASB、CWPP等。這些工具要麼太寬泛、要麼太狹隘、或者是對所有的身份接入提供接入風險的分析。
雲架構的安全需要一個對所有身份的統一、深入的視角,理解全棧的接入許可權和特權以及他們相關的風險。
首先第一步是發現所有的授權,包括人員、機器,他們可以接入資源,以及相關的許可權。這種可視性會導致過多或者沒有必要的許可、錯誤配置、網路暴露等其他異常情況。這包括了透過識別包括使用者、服務、第三方應用、外部的身份供應商的相關身份等身份型別;還需要評估相關的許可,以及許可管理、資料洩露、架構調整、提權、嗅探等風險因素。擁有這些可視性可以持續性地消除授權過度,減少因外部或者內部惡意人員造成的風險。
下一步就是評估一些特別的實體,比如IAM角色和分組來決定給與的接入和許可是否正當,或者時是否需要修改。這不侷限於某個實體的常規資訊,還需要一個包含該實體所有許可的詳細資訊。一個相反的方向也可以用來識別資源——透過資料、計算機、安全或者管理等;這些內容也很敏感,所以需要理解哪些使用者和角色可以接入它們。這些包括了接入許可權和網路配置,從而可以得到一個可靠的風險評估。比如,一個資料庫可能看上去有安全隱患,但是透過網路配置對某些授權進行保護就可以消除這個風險。
最後一步是監控身份的活動日誌和資源,來獲取更為廣闊的公有云環境視野;這能夠幫助進一步理解許可權的使用情況,從而調查可疑的接入情況和事件。
CASB、CSPM和CWPP等傳統雲安全工具並不是為了解決這些問題而設計的——Gartner把這些問題稱作雲架構授權管理(Cloud Infrastructure Entitlement Management,CIEM),而Forrester則成為雲架構治理(Cloud Infrastructure Governance,CIG)。現在需要的是雲原生的能力來貫徹最低許可權的理念。
身份安全不僅是企業內網中需要注意的地方,同樣在雲端也會成為問題 。企業不僅需要基於“身份”對雲環境進行防範;同樣,透過“身份”,能對雲環境的活動進行管控。儘管說當前沒有特定的工具處理這些問題,但是雲環境下的零信任架構有希望能為解決雲端的身份和授權問題帶來曙光。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69901823/viewspace-2771664/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 【技術向】OPC安全風險與防禦
- 授權機制與授權模型研究模型
- 我為何從 Python 轉向 ErlangPython
- Anvil Connect:一個集各種許可權授權協議的開源身份驗證與授權伺服器協議伺服器
- 阿里雲安全組規則授權物件設定為固定IP段訪問阿里物件
- 華為雲 OneAccess 應用身份管理服務,認證授權雙保駕,身份管理的選擇關鍵
- 驗證與授權
- 【認證與授權】Spring Security的授權流程Spring
- Spring Security 6.3基於JWT身份驗證與授權開源專案SpringJWT
- Istio安全-授權(實操三)
- Welcome to YARP - 5.身份驗證和授權
- 雲遷移的安全風險
- 賦能授權(轉載)
- 異常連線之未授權連線,行為風險分析的有效實踐
- 授權與同義詞
- 安全測試之認證授權
- DATABASE VAULT授權的安全隱患Database
- DB2授權和特權安全機制DB2
- DB2許可權與授權DB2
- 【技術向】初識SCADA安全風險
- MySQL掃盲 -- 授權方式 (轉)MySql
- Ocelot(四)- 認證與授權
- Ceph配置與認證授權
- 用於安全授權的DevSecOpsdev
- SpringSecurity3網站安全授權SpringGse網站
- 為什麼許可權授權很難?- osohq
- 雲端計算風險持續升級雲安全“LEVELUP”邁向聯動防禦
- 為域名管理進行RAM授權
- 從零搭建一個IdentityServer——聊聊Asp.net core中的身份驗證與授權IDEServerASP.NET
- 波場(Tron)USDT 合約授權(Approve)以及授權轉賬(TransferFrom)APP
- 安全滲透測試中日誌分析技術與授權機制
- 兩港股公司因遊戲合作翻臉 遊戲授權風險頻發遊戲
- 為何前端要使用框架?(小白向)前端框架
- 阿里雲身份管理與訪問控制之信任管理:角色扮演,臨時身份和安全令牌阿里
- 認證/授權與許可權的問題
- 使用OPA實現Spring安全授權 | baeldungSpring
- mysql使用者建立與授權MySql
- MySQL建立使用者與授權MySql