为了适应远程工作、增强创新能力以及构建灵活的团队,各组织在数字化转型方面持续投入资源。尽管数字化转型为企业带来了诸多商业优势,但要充分发挥这些投资的潜力,企业必须有效应对云基础架构所带来的重大安全风险。
在推进数字转型的过程中,组织需要谨慎地将其与零信任框架结合。零信任模型的核心在于限制用户权限的过度使用。然而,由于云服务提供商不断推出新服务和权限,且日常权限数量庞大,组织在云环境中实施这一策略面临挑战。
例如,云安全的主要风险与在混合和多云环境中使用的人类和非人身份密切相关。CloudKnox安全研究实验室通过对Amazon Web Service(AWS)的深入研究发现,授予的权限与实际使用的权限之间存在明显差距。这一现象被称为“云权限差距”,是导致各类企业面临意外和恶意内部威胁增加的因素之一。攻击者能够在组织未能有效管理零信任策略的情况下,利用更高的权限访问关键的云基础设施。
鉴于云权限差距的复杂性和直接威胁,CloudKnox进一步研究了AWS风险评估,以明确风险所在并提供缓解风险的最佳实践。
云权限差距是什么?它为何危险?
在任何采用公共云或混合云基础架构的组织中,云权限差距的存在使其容易遭受意外和恶意攻击。尽管身份应仅具备完成特定工作所需的权限,CloudKnox对150多家全球企业的评估显示,超过95%的身份在访问其AWS基础架构时,所用权限不到授予的2%。更糟的是,报告指出所有AWS角色中有40%处于非活动状态或被过度授权。
但这并不是全部!以下是AWS部署中发现的其他一些问题,若不加以解决,可能会给全球组织带来严重后果,并提供相应的应对建议:
外部身份经常被授予跨账户访问权限,导致身份能够访问目标账户中的所有资源,从而大幅增加因恶意意图或意外行为导致的数据泄露、服务降级或中断的风险。
应适当限制角色的权限范围,以确保仅访问必要的资源,并限制对其他账户中特定身份的访问。
管理员通常未启用多重身份验证(MFA),且访问密钥的旋转周期不超过6个月。未启用MFA的管理员若未定期更换登录或访问密钥,面临较高的凭据泄露风险,这进一步增加了攻击面。
根据AWS的建议,所有具有控制台访问权限的用户应启用MFA,并每90天轮换访问密钥。
许多企业的弹性计算云(EC2)实例可以访问所有简单存储服务(S3)存储桶。恶意攻击者可能利用这些受损的EC2实例访问敏感数据存储,导致数据泄露。
应限制EC2实例上的应用程序对所有资源的广泛访问。
错误配置的安全组打开了入站SSH端口,允许网络攻击者访问EC2实例。
任何安全组都不应允许对任何端口的无限制入口访问。
具有特权提升能力的身份可被提升为超级管理员角色,隐藏的特权升级增加了用户对管理员特权的访问风险。
应定期检查所有身份策略,以识别高风险权限、毒性组合及任何特权升级的可能性。
身份的过度使用使组织在整个AWS环境中面临显著风险,增加了CISO和安全运营中心(SOC)团队的管理难度,但这并非不可避免。
组织可以采取哪些措施来保护其AWS环境?
管理与人类或非人类身份相关的权限非常复杂;若无法有效管理身份,组织将面临巨大的风险。然而,在多云环境中,这并非注定要失败。使用AWS的组织应采取以下三项措施来保护其云基础设施:
基于活动的授权对身份的权限进行适当调整。自动删除或缩小过度特权用户、角色和组的权限。通过集成的审批工作流,按需启用高风险权限,并限制对关键云基础设施资源的广泛访问。
持续识别、改进和监控身份和访问管理(IAM)的健康状况。从静态、基于假设的权限授予流程转变为动态、基于活动的权限管理流程。监控、获取警报并纠正异常身份行为和未经授权的身份及角色。
实施自动化、持续的合规性和报告。通过删除安全组中的入站SSH和远程桌面(RDP)访问,限制对虚拟机的访问。为所有具有控制台访问权限的身份启用MFA,定期轮换凭据并管理密钥,以降低凭据泄露的风险。使用NIST 800-53、CIS基准、PCI-DSS和AWS Well-Architected报告,在所有账户中自动化和安排自定义风险报告,以推动合规性。
最终,所有组织都必须优先考虑数字化转型和云优先策略,以有效管理访问并在云中实施最小特权和零信任访问。尽管已有解决方案,但随着向云的持续迁移,过度许可身份(包括人类和非人类)所带来的风险只会加剧。正如最新的云安全联盟(CSA)报告所示,授予的权限与在整个组织云基础设施中实际使用的权限之间的差距日益严重,给组织带来更大风险。
展望未来,采用云权限管理最佳实践的组织将在其混合和多云环境中更有效地实施和管理零信任策略,从而保护关键的云基础设施资源和身份。此外,利用自动化技术将加强这些最佳实践的落实。这些措施共同促进组织实现零信任原则之一——限制过度权限和积极管理安全风险。
