尽管许多人认为云中缺乏安全边界,实际上,云的安全边界是基于身份的。这种边界与我们通常所保护的网络边界不同,因为攻击者只需获取相应的凭据就能破坏云中的安全控制。与网络安全相比,保护身份面临一系列独特的挑战。以下是其中的三个主要挑战。
身份的数量过多
云环境中身份管理的最大问题之一是身份数量庞大。与保护一个或少数网络不同,云中可能有数百或数千个身份,代表各自的用户范围。追踪这些身份成为一项规模庞大且持续的任务,用户会根据需求不断添加和删除。身份治理因此成为云安全的核心组成部分,而手动管理显然不可行,尤其是当大多数公司使用多个云服务提供商时。
机器身份的复杂性
虽然我们通常将身份与人类用户联系在一起,但计算机(如虚拟机、容器和服务)同样具有独特的身份。在基础设施即服务(IaaS)环境中,机器身份的数量往往是人类身份的20倍。这不仅扩大了防御的范围,同时许多机器身份是瞬时的,会在短时间内被创建以执行特定任务。这种动态特性使得管理机器身份变得更加复杂。
权限管理的风险
在明确了保护基于身份的云安全边界的规模后,我们需要考虑一个主要的安全风险因素:授权。每个身份被赋予了访问特定资源和执行特定操作的权限。如果某个身份被攻破且权限过多,可能会造成严重的安全隐患。
在云基础设施中,授权不仅是主要的安全风险,其数量也远超传统企业数据中心的情况。以AWS为例,仅其权限设置就超过2500个。同时,附加到个人身份的角色和组使得云授权的管理更加复杂。由于大多数公司同时使用多个云服务提供商,手动跟踪授权几乎是不可能的。
有效管理云身份与权限的最佳实践
为了更好地管理云中的身份和权限,以下是一些最佳实践:
1. 完整清单
首先,应该进行云授权的全面清单。由于云环境是动态变化的,这一评估应持续进行,以确保以下内容的记录保持最新:
机器身份,包括服务、计算机实例、数据存储和机密。
身份和访问管理(IAM)策略,管理资源、权限边界和访问控制列表。
本地和联合身份,例如AWS IAM、Active Directory、Okta等。
2. 权限评估
接下来,评估所有权限,识别声明的策略与实际授予权限之间的差异。通过可视化手段,可以清晰了解哪些身份有权访问敏感资源、其权限及关联角色。利用能够展示表格和图形的工具,便于过滤、搜索和查看指标及评分,从而量化风险。
3. 监控变更
为了及时检测与外部威胁、恶意内部行为或人为错误相关的可疑活动,应尽可能持续监控资源和策略。使用与既定安全策略偏离的规则,可以识别何时敏感特权发生变更(例如,特权升级),从而触发警报。
4. 补救流程
由于权限会影响多种业务流程和管理孤岛,建立补救协调流程至关重要。该流程应能通过应用程序编程接口(API),自动化地将新策略传递至云平台,或转发至问题管理系统进行实施。同时,DevOps团队还可以利用基础设施即代码(IaC)平台来推动策略的变更。
5. 实施最低权限原则
最后一步是执行最低权限原则,这是使用云服务提供商的工具和手动方法中最具挑战性的部分,因为这要求持续分析和削减过多的权限。最低权限的目标是减少云环境的攻击面,要求了解哪些权限在使用、哪些未被使用,以及哪些身份在执行其功能时不需要某些权限。对于与服务和基础设施相关的身份,仅应保留必要的权限,以确保安全和业务的连续性。
云不仅提供了应对不断变化的业务需求的灵活基础架构,同时也增加了安全管理的复杂性和挑战。由于身份是管理云安全的最后一道防线,不论是用户还是机器身份,其重要性不言而喻。这就是为什么保护云安全被视为一个数学难题:它需要分析和自动化,以达成人类无法实现的目标。这些功能来自于实施云基础架构权限管理(CIEM)和云身份管理(CIG)的产品。
