与普遍认知相反,云环境内实际上存在安全边界。然而,这种边界与我们通常保护的形式截然不同。在没有网络的情况下,云中的边界主要体现在身份上。这是因为,若攻击者获得了适当的凭据,他们就能破坏云中的安全控制。与传统网络安全相比,身份保护面临着一系列独特的挑战。接下来,让我们探讨其中的三个主要问题。
身份数量庞大
保护云中身份的最大挑战之一是其数量之多。云环境不再是需要保护的单一或少数网络,而是包含数百到数万的身份,每个身份代表着一个独立的个人边界。对这些身份进行跟踪是一个庞大且持续的任务,用户会根据需求不断增加或删除。身份治理因此成为云安全的核心环节,手动管理显然不可行,尤其是在大多数企业使用多个云服务提供商的情况下。
机器身份
尽管我们通常将身份与人类用户联系在一起,计算机(包括虚拟机、容器和服务)同样拥有独特的身份。实际上,在基础设施即服务(IaaS)环境中,机器身份的数量通常是人类身份的20倍。这进一步扩大了安全防护的范围。同时,许多机器身份具有瞬态特性,往往在短时间内被创建以执行特定任务。这种动态特征使得管理机器身份的复杂度远高于管理人类身份。
权限管理
在理解保护以身份为中心的云安全边界的规模后,我们需要关注关键的安全风险因素:授权。每个身份都被赋予访问特定资源和执行特定操作的权限,因此,受损的身份若具备过多权限,将会带来严重的安全隐患。
在云基础设施中,授权不仅是主要的安全风险,其数量也远超传统企业数据中心。以AWS为例,仅权限设置就超过2500种。同时,附加到个人身份的角色和组使得管理云授权的复杂性加剧。正如前文提到,大多数公司依赖多个云服务提供商,因此手动跟踪授权几乎是不可能的。
驯服复杂性
为了有效管理云中的身份和权限,以下是一些最佳实践:
1. 进行身份清单
首先,需要对云中的授权情况进行清单整理。由于云环境的动态变化,这项评估应持续进行,以保持以下内容的最新记录:
机器身份,包括服务、计算实例、数据存储和机密信息。
身份和访问管理(IAM)策略中的资源管理、权限边界和访问控制列表。
本地和联合身份,例如AWS IAM、Active Directory、Okta等。
2. 权限评估
接下来,需对所有权限进行评估,以识别已授予的实际权限与既定策略之间的差异。最简单的分析方式是通过可视化手段,帮助了解哪些身份可以访问敏感资源及其权限,以及与之关联的角色。为量化风险,可以使用提供表格和图形展示的工具,这些工具能进行过滤、搜索和查看指标及评分。
3. 监控变更
为了检测与外部威胁、恶意内部人员或人为错误相关的可疑活动,应尽可能对资源和策略进行持续监控。通过设定规则以检测与既有安全策略的偏离,可以及时识别敏感权限的更改,从而生成警报。
4. 补救措施
由于权限通常影响多种业务流程和管理孤岛,建立补救协调流程显得尤为重要。该流程应能够通过应用编程接口,以自动化方式将新策略转发至云平台,或转发至问题管理(如票证)系统进行执行。同时,DevOps团队可以利用基础设施代码(IaC)平台推动策略变更。
5. 实施最低权限原则
这一最后一步是运用云服务提供商的工具和手动方式中最具挑战的,因为它涉及不断分析和移除过多的权限。最低权限原则旨在减少云环境的攻击面,需要清晰了解哪些权限正在被使用,哪些未被使用,以及身份在执行其功能时不需要哪些权限。对于与服务和基础设施相关的身份,仅应保留已定义方案所需的权限,以确保安全与业务连续性。
云环境为满足不断变化的业务需求提供了灵活的基础设施,但同时也加大了安全管理的复杂性和数量。由于用户和机器身份都是管理云安全的最后一道防线,因此其重要性不言而喻。这就是为什么保护云安全被视为一个数学挑战:它需要通过分析和自动化实现人类难以达到的目标。这些功能可以通过云基础设施权限管理(CIEM)和云身份管理(CIG)相关产品来实现。
