云安全風(fēng)險(xiǎn)為何轉(zhuǎn)向身份與授權(quán)?

2022-10-04    分類(lèi): 網(wǎng)站建設(shè)

身份已經(jīng)成為云端的主要攻擊面。然而,身份的保護(hù)依然非常缺乏,因?yàn)閭鹘y(tǒng)工具主要被用于邊界防護(hù),而非用戶(hù)或者服務(wù)賬戶(hù)。

Gartner預(yù)測(cè),到2023年,因身份、接入和特權(quán)賬戶(hù)缺乏妥善管理造成的安全問(wèn)題,會(huì)從2020年50%上升到75%。這個(gè)情況是由多個(gè)因素導(dǎo)致的,一個(gè)比較常見(jiàn)的原因是過(guò)多、或者無(wú)必要的授權(quán)——給攻擊者提供了近百種攻擊的方式。

云安全風(fēng)險(xiǎn)為何轉(zhuǎn)向身份與授權(quán)?

追蹤云端的授權(quán)會(huì)消耗大量的人力和時(shí)間,但許多組織會(huì)希望能將這項(xiàng)任務(wù)完成得更好——這不難理解,畢竟當(dāng)前大部分云原生平臺(tái)的工具無(wú)法為權(quán)限和活動(dòng)提供有效的可視化或者關(guān)聯(lián)能力。

而另一方面,大部分IAM工具,比如身份治理與管理(IGA)和特權(quán)管理(PAM),一般都局限于部署好的架構(gòu)中;而當(dāng)向云端遷移的時(shí)候,這些解決方案缺乏顆粒度和資源級(jí)的可視化能力,對(duì)接入風(fēng)險(xiǎn)和過(guò)當(dāng)許可進(jìn)行識(shí)別或者修復(fù)。

因此,許多組織使用了一些相對(duì)有限的安全工具,比如CSPM、CASB、CWPP等。這些工具要么太寬泛、要么太狹隘、或者是對(duì)所有的身份接入提供接入風(fēng)險(xiǎn)的分析。

三步走守護(hù)云端身份安全

云架構(gòu)的安全需要一個(gè)對(duì)所有身份的統(tǒng)一、深入的視角,理解全棧的接入權(quán)限和特權(quán)以及他們相關(guān)的風(fēng)險(xiǎn)。

首先第一步是發(fā)現(xiàn)所有的授權(quán),包括人員、機(jī)器,他們可以接入資源,以及相關(guān)的權(quán)限。這種可視性會(huì)導(dǎo)致過(guò)多或者沒(méi)有必要的許可、錯(cuò)誤配置、網(wǎng)絡(luò)暴露等其他異常情況。這包括了通過(guò)識(shí)別包括用戶(hù)、服務(wù)、第三方應(yīng)用、外部的身份供應(yīng)商的相關(guān)身份等身份類(lèi)型;還需要評(píng)估相關(guān)的許可,以及許可管理、數(shù)據(jù)泄露、架構(gòu)調(diào)整、提權(quán)、嗅探等風(fēng)險(xiǎn)因素。擁有這些可視性可以持續(xù)性地消除授權(quán)過(guò)度,減少因外部或者內(nèi)部惡意人員造成的風(fēng)險(xiǎn)。

下一步就是評(píng)估一些特別的實(shí)體,比如IAM角色和分組來(lái)決定給與的接入和許可是否正當(dāng),或者時(shí)是否需要修改。這不局限于某個(gè)實(shí)體的常規(guī)信息,還需要一個(gè)包含該實(shí)體所有許可的詳細(xì)信息。一個(gè)相反的方向也可以用來(lái)識(shí)別資源——通過(guò)數(shù)據(jù)、計(jì)算機(jī)、安全或者管理等;這些內(nèi)容也很敏感,所以需要理解哪些用戶(hù)和角色可以接入它們。這些包括了接入權(quán)限和網(wǎng)絡(luò)配置,從而可以得到一個(gè)可靠的風(fēng)險(xiǎn)評(píng)估。比如,一個(gè)數(shù)據(jù)庫(kù)可能看上去有安全隱患,但是通過(guò)網(wǎng)絡(luò)配置對(duì)某些授權(quán)進(jìn)行保護(hù)就可以消除這個(gè)風(fēng)險(xiǎn)。

最后一步是監(jiān)控身份的活動(dòng)日志和資源,來(lái)獲取更為廣闊的公有云環(huán)境視野;這能夠幫助進(jìn)一步理解權(quán)限的使用情況,從而調(diào)查可疑的接入情況和事件。

一些新的工具

CASB、CSPM和CWPP等傳統(tǒng)云安全工具并不是為了解決這些問(wèn)題而設(shè)計(jì)的——Gartner把這些問(wèn)題稱(chēng)作云架構(gòu)授權(quán)管理(Cloud Infrastructure Entitlement Management,CIEM),而Forrester則成為云架構(gòu)治理(Cloud Infrastructure Governance,CIG)?,F(xiàn)在需要的是云原生的能力來(lái)貫徹最低權(quán)限的理念。

當(dāng)前名稱(chēng):云安全風(fēng)險(xiǎn)為何轉(zhuǎn)向身份與授權(quán)?
文章鏈接:http://www.muchs.cn/news12/201512.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供外貿(mào)建站、服務(wù)器托管、網(wǎng)站策劃、網(wǎng)站設(shè)計(jì)、虛擬主機(jī)、標(biāo)簽優(yōu)化

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話(huà):028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

h5響應(yīng)式網(wǎng)站建設(shè)