為什么保護云安全是一個數(shù)學問題

與普遍的看法相反，云中有一個安全邊界。但這不是我們習慣保護的類型。由于沒有網(wǎng)絡，云中事實上的邊界就是身份。這是因為攻擊者要破壞云安全控制，所需的只是適當?shù)膽{據(jù)。與網(wǎng)絡安全不同，保護身份帶來了一系列獨特的挑戰(zhàn)。讓我們考慮一下前三名。

身份太多

與保護云中的身份相關的大問題之一是它們的數(shù)量太多。而不是一個或少數(shù)的網(wǎng)絡來保護，云有成百上千或數(shù)十萬的身份，代表自己的個人周界。跟蹤它們是一個大規(guī)模的、永無止境的庫存項目，用戶被不斷地添加和刪除以滿足需求。身份治理是云安全的一個主要組成部分，手動操作是不可行的，特別是因為大多數(shù)公司使用兩個或更多的云服務提供商。

機器ID

盡管我們大多數(shù)人將身份與人類用戶相關聯(lián)，但計算機(包括虛擬機、容器和服務)都具有唯一的身份。實際上，在IaaS環(huán)境中，機器身份通常要比人類身份多20倍。這會產(chǎn)生更大的防御范圍。同時，許多機器身份是瞬態(tài)的，并且會在很短的時間內(nèi)創(chuàng)建以執(zhí)行特定任務。這種動態(tài)的特性使管理機器身份比管理人的身份更加復雜。

權(quán)益

現(xiàn)在，我們已經(jīng)確定了保護云以身份為中心的邊界所涉及的規(guī)模，讓我們考慮一下主要的安全風險因素：授權(quán)。由于每個標識都分配了訪問特定資源和執(zhí)行特定操作的權(quán)限，因此具有過多權(quán)限的受損標識可能會帶來嚴重的安全風險。

在云基礎設施環(huán)境中，授權(quán)不僅是一個主要的安全風險，而且其數(shù)量也使傳統(tǒng)企業(yè)數(shù)據(jù)中心中的任何東西相形見絀。事實上，僅在AWS中就有2500多個權(quán)限設置。同時，附加到個人身份的角色和組使管理云授權(quán)的任務更加復雜。如前所述，大多數(shù)公司使用多個云服務提供商，因此不可能手動跟蹤授權(quán)。

馴服野獸

為了控制云身份和權(quán)利，請考慮以下好做法：

1.庫存

首先進行云授權(quán)清單。由于云環(huán)境是動態(tài)的，因此應持續(xù)進行此評估，以維護以下方面的最新記錄：

• 機器身份，包括服務、計算機實例、數(shù)據(jù)存儲和機密。

• 管理資源，權(quán)限邊界和訪問控制列表的身份和訪問管理(IAM)策略。

• 本機和聯(lián)合身份，例如AWS IAM、Active Directory、Okta等。

2.評估

接下來，對所有權(quán)利進行評估，以識別陳述的策略與已授予的實際權(quán)限之間的不一致。進行此分析的最簡單方法是通過可視化，以了解哪些身份有權(quán)訪問敏感資源，其權(quán)限是什么以及與它們關聯(lián)的角色。為了量化風險，請使用提供表格和圖形表示并可以過濾，搜索和查看指標和得分的工具。

3.變更監(jiān)控

為了檢測與外部威脅，惡意內(nèi)部人員甚至人為錯誤相關的可疑活動，應在可能的情況下連續(xù)監(jiān)視資源和策略。使用檢測與已建立的安全策略的偏離的規(guī)則，可以確定何時更改敏感特權(quán)(例如何時發(fā)生特權(quán)升級)，從而可以生成警報。

4.補救措施

由于權(quán)利通常會影響各種業(yè)務流程和管理孤島，因此建立補救協(xié)調(diào)流程非常重要。該管道應該能夠使用應用程序編程接口以自動化的方式將新策略轉(zhuǎn)發(fā)到云平臺，或者轉(zhuǎn)發(fā)到問題管理(即票證)系統(tǒng)以進行實施。同時，DevOps團隊可以使用基礎架構(gòu)代碼(IaC)平臺來推動策略更改。

5.最低特權(quán)執(zhí)行

這最后一步是使用本機云服務提供商工具和手動方法最難實現(xiàn)的，因為它涉及不斷分析和刪除過多的權(quán)限。最低特權(quán)的目的是減少云環(huán)境的攻擊面，并且它要求能夠了解正在使用哪些權(quán)利，哪些權(quán)利未使用以及身份執(zhí)行其功能不需要哪些權(quán)利。對于與服務和基礎結(jié)構(gòu)有關的身份，僅應保留已定義方案所需的權(quán)利，而僅應保留這些權(quán)利，以確保安全性和業(yè)務連續(xù)性。

就像云提供了可以快速擴展以滿足不斷變化的業(yè)務需求的彈性基礎架構(gòu)一樣，它也擴展了安全管理的復雜性和數(shù)量。而且，由于同時屬于用戶和機器的身份是管理它們的云的最后一道防線，因此它們的重要性至關重要。這就是保護云安全是一個數(shù)學問題的原因：它需要分析和自動化來實現(xiàn)人類無法實現(xiàn)的目標。這些功能可從執(zhí)行云基礎架構(gòu)權(quán)利管理(CIEM)和云身份管理(CIG)的產(chǎn)品中獲得。

網(wǎng)站欄目：為什么保護云安全是一個數(shù)學問題
標題網(wǎng)址：http://muchs.cn/news/202338.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站營銷、軟件開發(fā)、自適應網(wǎng)站、全網(wǎng)營銷推廣、微信小程序、建站公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)