Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 部落格

訂閱

身分:雲端中安全性的結締組織

身分:雲端中安全性的結締組織

幾乎所有雲端中的資源,都可能因為一個過度權限或錯誤設定而曝險。 適當的雲端態勢及權限管理有助於緩解風險,並消除有害的組合。

在實施及設定雲端安全解決方案時,很容易因為需要監控的「事項」太多而不知所措。 這些事項包括在 Kubernetes 基礎架構上執行的 Web 應用程式 (包含 IaaS 及容器資源),以及與人員和機器相關的身分等。 雲端安全團隊必須管理每個資源的服務身分,並掃描資源是否有弱點或錯誤設定。 由於需要監控的事項太多,企業通常會尋求工具和單點解決方案來協助對抗這些威脅媒介。 許多企業最終會在其環境中部署一大堆不同縮寫的安全解決方案,結果因為試圖設定和實施這些不同產品而花費巨額成本。 

通常,每個工具都會產生大量的安全調查結果,並且使用不同的關鍵性指標。 因此,即使有了技術先進的工具,安全團隊仍然被迫回到使用試算表的困境,試圖核對和排定所有調查結果的優先順序。 

保護雲端身分安全的重要性

若要實施更有效的安全策略,首先您必須釐清威脅執行者入侵雲端基礎架構想達成的目標。 最近,很明顯幾乎所有的雲端入侵事件都是利用錯誤設定的身分及權限。 身分定義安全聯盟 (Identity Defined Security Alliance, IDSA) 的調查《2022 年保護數位身分的趨勢》(2022 Trends in Securing Digital Identities) 發現,在研究涵蓋的 12 個月內,有 84% 的公司遭受與身分相關的入侵。 原因為何?這不僅是因為身分與我們在雲端執行和建置的一切都密切相關,還因為這是解決起來極其複雜的問題。 嘗試真正了解身分管理相關風險時,有太多變數需要考量。

無論您是擁有已知有弱點可刺探利用的公用 Amazon EC2 執行個體,或是透過手動或程式碼方式提供服務但錯誤設定的基礎架構,一旦雲端暴露點遭到刺探利用,攻擊者就會立即鎖定身分。 他們會測試權限,試圖橫向移動或提升權限,以存取敏感資料和其他資源。 在雲端中,身分就是邊界,由於其深遠影響,身分和權限安全應成為整體雲端安全計畫的基礎。 

了解服務身分與人員身分的區別

在保護身分時,了解服務身分和人員身分之間的差異,以及加以保護的不同方法,對於實現最小權限原則非常重要。 服務身分旨在服務工作負載,並以一致且可預測的方式運作。 評估指派哪些權限給使用者,及其實際使用了哪些權限,對於了解「有效權限」很重要。 由於服務身分經程式設定用於特定目的,且需求很少改變,因此可根據活動 (最小權限原則) 將其權限調整至最低限度。 

相對地,人員身分則是由真人使用。 這使得人員身分的行為難以預測,要針對特定資源和動作調整權限變得困難,尤其是遇到臨時任務時。 執行零信任原則,實施整合式即時 (JIT) 存取計畫是關鍵。 沒有任何企業能完全消除人員使用者對雲端的存取。 這是不切實際的。 以下是大規模降低人員身分相關風險的方法: 讓 DevOps 團隊能以程式化方式請求短期存取雲端,以便在關鍵環境中執行特定任務,並確保此短期存取工作流程整合到現有的通訊工具中,例如 Slack、Microsoft Teams 等。 

未考慮到這些差異的安全計畫可能會導致 DevOps 和 IT 團隊之間的額外負擔和摩擦。 實現 DevSecOps 的承諾,代表要確保安全能以可擴展的方式嵌入工作流程中。 整合式雲端基礎架構與權限管理 (CIEM) 和雲端原生應用程式保護平台 (CNAPP) 工具正是在這種情況下派上用場。 這些工具之間的整合能讓您對雲端基礎架構、Kubernetes、容器、基礎架構即程式碼 (IaC)、身分、工作負載等方面擁有能見度和控制。

在整合的 CNAPP 和 CIEM 安全解決方案中尋找以下內容:

  • 權限洞察和視覺化: 安全領域有句老話:看不見的東西,就無法保護。 對資源、權限及其活動的準確多重雲端能見度是必不可少的起點。 
  • 持續風險評估: 您需要持續監控雲端環境,以偵測和評估風險因素,例如網路曝險、錯誤設定、危險權限、曝露的機密資訊和與身分相關的威脅,包括異常資料存取。
  • 強制執行最小權限原則: 整合式工具應能透過最小權限原則自動執行權限防護措施。
  • 簡化修復流程: 如果您知道風險所在位置,應該能很容易地在工具中加以修復,並在符合安全策略的情況下盡可能將修復流程自動化。 
  • 以開發者為中心的存取控制: 提供 DevOps 團隊能將安全整合到其工作流程的工具,讓安全不再令他們感到挫折。 

利用背景資訊對抗警示疲勞

雖然許多安全團隊會耗費大量時間調整控制及原則以應對警示過載問題,但更好的方式是將 CNAPP 和 CIEM 等安全工具整合至單一平台,以便能在整個攻擊破綻上提供豐富的背景資訊。 透過整合式安全工具,您可以標準化「重大」的真正定義,並更清楚了解攻擊者可能利用哪些攻擊路徑對您的雲端環境造成損害。 此外,發現新威脅和零時差弱點時,也會更容易更新。 

舉例來說,您可能在雲端環境中執行了 100 個可公開存取的工作負載,但其中只有 10 個具有重大弱點,而這 10 個中只有 5 個同時具有重大弱點和高權限。 透過分析此背景資料,安全團隊可洞察最可能遭人刺探利用的弱點並優先處理。 由於單點解決方案缺乏整合和以身分為中心的背景資訊,安全團隊常常只能疲於奔命地試圖處理全部 100 個公開工作負載,無法有效應對威脅。 

了解風險和曝險程度的整合功能非常重要。 這些功能不僅有助於從基礎架構或弱點的角度來理解問題,更有意義的是能讓我們全面地看待整個環境,並根據實際發生的情況動態調整風險評分。 

若要深入了解如何保護雲端中的身分,請觀看隨選網路研討會「管理雲端中的安全態勢和權限」。

相關文章

您可以利用的網路安全最新消息

輸入您的電子郵件,就不會錯過來自 Tenable 專家提供的及時警示與安全指引。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

除了阿拉伯聯合大公國外,在世界各地建立的 Tenable Vulnerability Management 試用版均包含 Tenable Lumin 及 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

除了阿拉伯聯合大公國外,在世界各地建立的 Tenable Vulnerability Management 試用版均包含 Tenable Lumin 及 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

除了阿拉伯聯合大公國外,在世界各地建立的 Tenable Vulnerability Management 試用版均包含 Tenable Lumin 及 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

試用 Tenable Web App Scanning

享受完整存取我們專為新型應用程式所設計、屬於 Tenable One 曝險管理平台一部分的最新 Web 應用程式掃描產品。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

您的 Tenable Web App Scanning 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Lumin。

購買 Tenable Web App Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

試用 Tenable Lumin

利用 Tenable Lumin 視覺化並探索您的曝險管理、追蹤經過一段時間後風險降低的情形以及與同業進行指標分析。

您的 Tenable Lumin 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Web App Scanning。

購買 Tenable Lumin

聯絡業務代表,瞭解 Tenable Lumin 如何協助您取得您整個環境的深入解析和管理網路風險。

免費試用 Tenable Nessus Professional

免費試用 7 天

Tenable Nessus 是目前市場上最全方位的弱點掃描器。

最新 - Tenable Nessus Expert
現已上市

Nessus Expert 新增了更多功能,包括外部攻擊破綻掃描和新增網域及掃描雲端基礎架構的能力。按這裡試用 Nessus Expert。

請填妥以下表單以繼續 Nessus Pro 試用。

購買 Tenable Nessus Professional

Tenable Nessus 是目前市場上最全方位的弱點掃描器。Tenable Nessus Professional 可協助將弱點掃描流程自動化,節省您執行合規工作的時間並讓您與 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。

選擇您的授權

購買多年期授權,節省更多。

增加支援與訓練

免費試用 Tenable Nessus Expert

免費試用 7 天

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

您已經有 Tenable Nessus Professional 了嗎?
升級至 Nessus Expert,免費試用 7 天。

購買 Tenable Nessus Expert

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

選擇您的授權

購買多年期授權省更多!

增加支援與訓練