如何在云中实现最小权限

来源:企业网D1Net · 2020-05-22 14:45

  根据云计算权威组织云安全联盟(CSA)对241位行业专家的最新调查,云计算资源配置错误是导致组织数据泄露的主要原因。

  那么造成这种风险的主要原因是什么?由于数据规模巨大,因此在云中管理身份及其权限极具挑战性。它不仅仅是人们的用户身份,还包括设备、应用程序和服务。由于这种复杂性,许多组织都会出错。

  随着时间的推移,这个问题变得越来越严重,因为很多组织在没有建立有效分配和管理权限的能力的情况下扩展了他们的云计算规模。因此,用户和应用程序往往会积累远远超出技术和业务要求的权限,从而造成较大的权限差距。

  例如,美国国防部的一个军事数据库于2017年对外泄露,这个数据库是美国中央司令部(CENTCOM)和太平洋司令部(PACOM)从社交媒体、新闻网站、论坛和其他公开网站上搜集的18亿条以上互联网帖子,而美国国防部这两个统一作战司令部负责美国在中东地区、亚洲和南太平洋地区的军事行动,它配置了三个AWS S3云存储桶,允许任何经过AWS全球认证的用户浏览和下载内容,而这种类型的AWS帐户可以通过免费注册获得。

  关注权限

  为了减轻与滥用云中身份有关的风险,组织正在尝试实施最小特权原则。在理想情况下,应将每个用户或应用程序限制为所需的确切权限。

  从理论上讲,这个过程应该很简单。第一步是了解已为给定用户或应用程序分配了哪些权限。接下来,应该对实际使用的那些权限进行清点。两者的比较揭示了权限差距,即应保留哪些权限以及应修改或删除哪些权限。

  这可以通过几种方式来完成。认为过多的权限可以删除或监视并发出警报。通过不断地重新检查环境并删除未使用的权限,组织可以随着时间的推移在云中获得最少的特权。

  但是,在复杂的云计算环境中确定每个应用程序所需的精确权限所需的工作可能既费力又昂贵。

  了解身份和访问管理(IAM)控件

  以全球最流行的AWS云平台为例,该平台提供了可用的最精细身份和访问管理(IAM)系统之一。AWS IAM是一个功能强大的工具,使管理员可以安全地配置对AWS云计算资源的访问。身份和访问管理(IAM)控件拥有2,500多个权限(并且还在不断增加),它使用户可以对在AWS云平台中的给定资源上执行哪些操作进行细粒度控制。

  毫不奇怪,这种控制程度为开发人员和DevOps团队带来了相同(可能有人说更高)的复杂程度。

  在AWS云平台中,其角色作为机器身份。需要授予特定于应用程序的权限,并将访问策略附加到相关角色。这些可以是由云计算服务提供商(CSP)创建的托管策略,也可以是由AWS云平台客户创建的内联策略。

  担任角色

  可以被分配多个访问策略或为多个应用程序服务的角色,使“最小权限”的旅程更具挑战性。

  以下有几种情况说明了这一点。

  (1)单个应用程序–单一角色:应用程序使用具有不同托管和内联策略的角色,授予访问Amazon ElastiCache、RDS、DynamoDB和S3服务的特权。如何知道实际使用了哪些权限?一旦完成,如何正确确定角色的大小?是否用内联策略替换托管策略?是否编辑现有的内联策略?是否制定自己的新政策?

  (2)两个应用程序–单一角色:两个不同的应用程序共享同一角色。假设这个角色具有对Amazon ElastiCache、RDS、DynamoDB和S3服务的访问权限。但是,当第一个应用程序使用RDS和ElastiCache服务时,第二个应用程序使用ElastiCache、DynamoDB和S3。因此,要获得最小权限,正确的操作将是角色拆分,而不是简单地调整角色大小。在这种情况下,作为第二步,将在角色拆分之后进行角色权限调整。

  (3)当应用程序使用的角色没有任何敏感权限,但该角色具有承担其他更高特权角色的权限时,就会发生角色链接。如果权限更高的角色有权访问Amazon ElastiCache、RDS、DynamoDB和S3等各种服务,那么如何知道原始应用程序实际上正在使用哪些服务?以及如何在不中断其他可能同时使用第二个更高权限角色的应用程序的情况下限制应用程序的权限?

  一种称为Access Advisor的AWS工具允许管理员调查给定角色访问的服务列表,并验证其使用方式。但是,只依靠Access Advisor并不能解决访问权限与解决许多策略决策所需的各个资源之间的问题。为此,有必要深入了解CloudTrail日志以及计算管理基础设施。

  云中的最小权限

  最后需要记住,只涉及原生AWS IAM访问控制。将访问权限映射到资源时,还需要考虑几个其他问题,其中包括间接访问或应用程序级别的访问。

  正如人们所看到的,对于许多组织而言,在云中强制实施最小权限以最小化导致数据泄露或服务中断的访问风险可能是不可行的。通过使用软件来自动化监视、评估和对所有身份(用户、设备、应用程序等)的访问权限进行调整正确大小的新技术正在弥合这种治理鸿沟,以消除风险。

+1

好文章,需要你的鼓励

热门阅读

2月14日消息,据国外媒体报道,在亚马逊进行抗议之后,美国一名联邦法官于当地时间周四下令,暂时禁止微软执行与美国国防部的百亿美元云计算合同。 美国国防部发言人罗伯特卡弗中校在...

2020-02-17 09:57:12

谷歌公司日前宣布,该公司用于在多个内部部署和云计算环境中管理Kubernetes工作负载的软件Anthos现在可以在其竞争对手AWS的云平台运行工作负载,但还没有对微软Azure云平台提供支持。 谷歌云...

2020-04-26 11:25:10

近年来,数据生成水平激增,其特点是工业领域中很多企业进行了巨大的数字化转型。全球范围内生成的数据量正在快速增长。实际上,行业媒体Gigabit Magazine的研究表明,全球2020年生成的数据...

2020-04-26 16:29:04

刚刚,独立的全球咨询与服务机构Forrester发布《The Forrester New WaveTM: Function-As-A- Service Platforms, Q1 2020》报告。腾讯云FaaS能力凭借在产品体验、安全性、战略愿景等方面的绝对优势脱颖而出,综合...

2020-03-02 10:23:16

如果企业对其数字环境的安全性负责,那么要了解最新的硬件、环境和软件漏洞补丁可能是一个挑战。将企业的工作负载迁移到云平台能够以独特的新方式帮助应对这些挑战。等待迁移到云平...

2020-04-21 10:53:54

我国企业上云空间巨大,云计算会迎来新一轮更为广阔的蓬勃发展机遇期。下一步,工信部将从五方面入手推动云计算产业快速发展。日前,在第九届中国云计算标准和应用大会上,工业和信...

2019-12-17 17:09:34

Clear Linux 是去年英特尔发布的专为开发者打造的 Linux 发行版,其追求在英特尔架构上具有最佳性能,并为开发者提供实用工具及工作流程,从而加速软件开发工作。 此前开发团队的工作重心放...

2020-04-27 09:01:27

会畅通讯(300578)5月6日在互动平台上表示,在疫情期间,公司云视频SaaS用户数增长达到十几倍;云视频SaaS在线时长增长约800%;其中,教育业务疫情期间累计覆盖26个省近2000所学校和机构;云视频...

2020-05-06 16:27:06

1月7日,据国外媒体报道,在全球云计算领域拥有较大市场份额的亚马逊,宣布将与电信运营商合作推出5G边缘云计算。 与威瑞森合作推出5G边缘云计算服务的消息,是亚马逊在官网宣布的。...

2020-01-08 09:33:08

如果人们认为云计算将导致数据中心消亡,而人工智能项目注定要失败,那么需要再考虑。 在技术界,有两个主要的缺点:人们过于渴望迎接未来,具有讽刺意味的是,如果发展速度不如人们...

2020-02-10 15:55:17

回溯AWS发展,它的成功主要在于持续不断的技术创新与迭代、服务于客户的经营理念,同时带来了社会经济效益。 微软与谷歌等相对较晚市场进入者纷纷借鉴亚马逊成功经验,在此基础上寻找...

2020-02-26 17:25:08

中证网讯(记者 齐金钊) 中国证券报记者获悉,作为公司AI赋能金融解决方案的主要载体,金证股份(600446)旗下优智团队日前已经孵化出金证金融智能PaaS平台系。该平台能够帮助金融机构与监管...

2020-04-24 08:57:19

如今,云计算不再只是企业简化工作流程的一种方式,而是一个主要的区别。对于在瞬息万变的世界中蓬勃发展的企业而言,云计算已变得至关重要。将业务迁移到云平台已经成为很多企业最...

2019-12-27 11:04:39

Synergy Research Group最新数据显示,2019年CPaaS收入有望再次实现40%以上的增长。由于今年前三个季度的收入已经超过2018年全年的水平,Synergy预测, 2019年全年该市场的收入将是2016年的三倍。 Twi...

2020-01-07 11:40:36

去年年初,我们预测关于5G、AI、大数据很多方面的发展方向;一年后,我们回过来看,这个世界实在变化得太快。这是中国电信云公司副总经理徐守峰对去年技术发展的总结。 为了追上技术的...

2020-01-16 15:53:40

随着云计算预算的激增,越来越多的企业正在寻找控制成本的方法。人们需要了解一些旨在使云计算支出得以控制的管理技巧。 许多企业曾经将云计算作为减少数据中心支出的一种方法,但现...

2020-03-04 11:18:29

多云策略和混合IT环境为企业的技术领导者带来了可能无法预期的一系列挑战。对于许多企业而言,将一些数据和工作负载迁移到云平台中已经不再是一个问题。其问题是如何将IT基础设施广泛...

2020-02-07 17:33:07

2019年Veeam云数据管理报告显示,有73%的组织无法满足用户对持续不间断访问应用程序和数据的需求,这将会给企业每年造成2000万美元的损失。由此可见企业用户对于数据管理的市场需求的迫切...

2020-02-21 15:06:02

采用云计算技术可能会带来计费、管理和合规性问题,人们需要了解一些企业将工作负载从云平台遣返回内部部署数据中心的主要原因。 尽管有着大量云计算提供商案例研究和用户采用的成功...

2020-01-03 11:37:36

近日,平安科技与英特尔于中国深圳平安金融中心正式签署战略合作协议。协议约定双方共同组建联合实验室、产品与技术合作、多产品发展生态系... 近日,平安科技与英特尔于中国深圳平安金...

2020-01-13 15:13:43