雲安全風險為何轉向身份與授權？

身份已經成為雲端的主要攻擊面。然而，身份的保護依然非常缺乏，因為傳統工具主要被用於邊界防護，而非使用者或者服務賬戶。

Gartner預測，到2023年，因身份、接入和特權賬戶缺乏妥善管理造成的安全問題，會從2020年50%上升到75%。這個情況是由多個因素導致的，一個比較常見的原因是過多、或者無必要的授權——給攻擊者提供了近百種攻擊的方式。

追蹤雲端的授權會消耗大量的人力和時間，但許多組織會希望能將這項任務完成得更好——這不難理解，畢竟當前大部分雲原生平臺的工具無法為許可權和活動提供有效的視覺化或者關聯能力。

而另一方面，大部分IAM工具，比如身份治理與管理（IGA）和特權管理（PAM），一般都侷限於部署好的架構中；而當向雲端遷移的時候，這些解決方案缺乏顆粒度和資源級的視覺化能力，對接入風險和過當許可進行識別或者修復。

因此，許多組織使用了一些相對有限的安全工具，比如CSPM、CASB、CWPP等。這些工具要麼太寬泛、要麼太狹隘、或者是對所有的身份接入提供接入風險的分析。

雲架構的安全需要一個對所有身份的統一、深入的視角，理解全棧的接入許可權和特權以及他們相關的風險。

首先第一步是發現所有的授權，包括人員、機器，他們可以接入資源，以及相關的許可權。這種可視性會導致過多或者沒有必要的許可、錯誤配置、網路暴露等其他異常情況。這包括了透過識別包括使用者、服務、第三方應用、外部的身份供應商的相關身份等身份型別；還需要評估相關的許可，以及許可管理、資料洩露、架構調整、提權、嗅探等風險因素。擁有這些可視性可以持續性地消除授權過度，減少因外部或者內部惡意人員造成的風險。

下一步就是評估一些特別的實體，比如IAM角色和分組來決定給與的接入和許可是否正當，或者時是否需要修改。這不侷限於某個實體的常規資訊，還需要一個包含該實體所有許可的詳細資訊。一個相反的方向也可以用來識別資源——透過資料、計算機、安全或者管理等；這些內容也很敏感，所以需要理解哪些使用者和角色可以接入它們。這些包括了接入許可權和網路配置，從而可以得到一個可靠的風險評估。比如，一個資料庫可能看上去有安全隱患，但是透過網路配置對某些授權進行保護就可以消除這個風險。

最後一步是監控身份的活動日誌和資源，來獲取更為廣闊的公有云環境視野；這能夠幫助進一步理解許可權的使用情況，從而調查可疑的接入情況和事件。

CASB、CSPM和CWPP等傳統雲安全工具並不是為了解決這些問題而設計的——Gartner把這些問題稱作雲架構授權管理（Cloud Infrastructure Entitlement Management，CIEM），而Forrester則成為雲架構治理（Cloud Infrastructure Governance，CIG）。現在需要的是雲原生的能力來貫徹最低許可權的理念。

身份安全不僅是企業內網中需要注意的地方，同樣在雲端也會成為問題 。企業不僅需要基於“身份”對雲環境進行防範；同樣，透過“身份”，能對雲環境的活動進行管控。儘管說當前沒有特定的工具處理這些問題，但是雲環境下的零信任架構有希望能為解決雲端的身份和授權問題帶來曙光。