身分:雲端中安全性的結締組織
幾乎所有雲端中的資源,都可能因為一個過度權限或錯誤設定而曝險。 適當的雲端態勢及權限管理有助於緩解風險,並消除有害的組合。
在建置及設定雲端安全解決方案時,很容易因為需要監控的「事項」太多而不知所措。 這些事項包括在 Kubernetes 基礎架構上執行的 Web 應用程式 (包含 IaaS 及容器資源),以及與人員和機器相關的身分等。 雲端安全團隊必須管理每個資源的服務身分,並掃描資源是否有弱點或錯誤設定。 由於需要監控的事項太多,企業通常會尋求工具和單一功能解決方案來協助對抗這些威脅媒介。 許多企業最終會在其環境中部署一大堆不同縮寫的安全解決方案,結果因為試圖設定和建置這些不同產品而花費巨額成本。
通常,每個工具都會產生大量的安全調查結果,並且使用不同的關鍵性指標。 因此,即使有了技術先進的工具,安全團隊仍然被迫回到使用試算表的困境,試圖核對和排定所有調查結果的優先順序。
保護雲端身分安全的重要性
若要建置更有效的安全策略,首先您必須釐清威脅執行者入侵雲端基礎架構想達成的目標。 最近,很明顯幾乎所有的雲端入侵事件都是利用錯誤設定的身分及權限。 身分定義安全聯盟 (Identity Defined Security Alliance,簡稱 IDSA) 的調查《2022 年保護數位身分的趨勢》(2022 Trends in Securing Digital Identities) 發現,在研究涵蓋的 12 個月內,有 84% 的公司遭受與身分相關的入侵。 原因為何?這不僅是因為身分與我們在雲端執行和建置的一切都密切相關,還因為這是解決起來極其複雜的問題。 嘗試真正瞭解身分管理相關風險時,有太多變數需要考量。
無論您是擁有已知有弱點可刺探利用的公用 Amazon EC2 執行個體,或是透過手動或程式碼方式提供服務但錯誤設定的基礎架構,一旦雲端暴露點遭到刺探利用,攻擊者就會立即鎖定身分。 他們會測試權限,試圖橫向移動或提升權限,以存取敏感資料和其他資源。 在雲端中,身分就是邊界,由於其深遠影響,身分和權限安全應成為整體雲端安全方案的基礎。
瞭解服務身分與人員身分的區別
在保護身分時,瞭解服務身分和人員身分之間的差異,以及加以保護的不同方法,對於實現最低特權原則非常重要。 服務身分旨在服務工作負載,並以一致且可預測的方式運作。 評估指派哪些權限給使用者,及其實際使用了哪些權限,對於瞭解「有效權限」很重要。 由於服務身分經程式設定用於特定目的,且需求很少改變,因此可根據活動 (最低特權原則) 將其權限調整至最低限度。
相對地,人員身分則是由真人使用。 這使得人員身分的行為難以預測,要針對特定資源和動作調整權限變得困難,尤其是遇到臨時任務時。 執行零信任原則,建置整合式即時 (JIT) 存取方案是關鍵。 沒有任何企業能完全消除人員使用者對雲端的存取。 這是不切實際的。 以下是大規模降低人員身分相關風險的方法: 讓 DevOps 團隊能以程式化方式請求短期存取雲端,以便在關鍵環境中執行特定任務,並確保此短期存取工作流程整合到現有的通訊工具中,例如 Slack、Microsoft Teams 等。
未考慮到這些差異的安全方案可能會導致 DevOps 和 IT 團隊之間的額外負擔和摩擦。 實現 DevSecOps 的承諾,代表要確保安全能以可擴展的方式嵌入工作流程中。 整合式雲端基礎架構與權限管理 (CIEM) 和雲端原生應用程式保護平台 (CNAPP) 工具正是在這種情況下派上用場。 這些工具之間的整合能讓您對雲端基礎架構、Kubernetes、容器、基礎架構即程式碼 (IaC)、身分、工作負載等方面擁有能見度和掌控度。
在整合的 CNAPP 和 CIEM 安全解決方案中尋找以下內容:
- 權限深入解析和視覺化: 安全領域有句老話:看不見的東西,就無法保護。 對資源、權限及其活動的準確多重雲端能見度是必不可少的起點。
- 持續的風險評估: 您需要持續監控雲端環境,以偵測和評估風險因素,例如網路曝險、錯誤設定、危險權限、曝露的機密資訊和與身分相關的威脅,包括異常資料存取。
- 強制執行最低特權原則: 整合式工具應能透過最低特權原則自動執行權限防護措施。
- 簡化修復流程: 如果您知道風險所在位置,應該能很容易地在工具中加以修復,並在符合安全策略的情況下盡可能將修復流程自動化。
- 以開發者為中心的存取控制: 提供 DevOps 團隊能將安全整合到其工作流程的工具,讓安全不再令他們感到挫折。
利用背景資訊對抗警示疲勞
雖然許多安全團隊會耗費大量時間調整控制及原則以應對警示過載問題,但更好的方式是將 CNAPP 和 CIEM 等安全工具整合至單一平台,以便能在整個攻擊破綻上提供豐富的背景資訊。 透過整合式安全工具,您可以標準化「重大」的真正定義,並更清楚瞭解攻擊者可能利用哪些攻擊路徑對您的雲端環境造成損害。 此外,發現新威脅和零時差弱點時,也會更容易更新。
舉例來說,您可能在雲端環境中執行了 100 個可公開存取的工作負載,但其中只有 10 個具有重大弱點,而這 10 個中只有 5 個同時具有重大弱點和高權限。 透過分析此背景資料,安全團隊可洞察最可能遭人刺探利用的弱點並優先處理。 由於單一功能解決方案缺乏整合和以身分為中心的背景資訊,安全團隊常常只能疲於奔命地試圖處理全部 100 個公開工作負載,無法有效應對威脅。
瞭解風險和曝險程度的整合功能非常重要。 這些功能不僅有助於從基礎架構或弱點的角度來理解問題,更有意義的是能讓我們全面地看待整個環境,並根據實際發生的情況動態調整風險評分。
若要深入瞭解如何保護雲端中的身分,請觀看隨選網路研討會「管理雲端中的安全態勢和權限」。
相關文章
- Active Directory
- Active Directory