在多云中保護機器ID的五種技術(shù)

譯文
作者：李睿 2021-09-14 08:00:00

云計算 如今，越來越多的組織采用自動化技術(shù)通過云計算應(yīng)用程序?qū)崿F(xiàn)數(shù)字化轉(zhuǎn)型，而這也促使機器身份（ID）的數(shù)量快速增長。

成都創(chuàng)新互聯(lián)專注于浦江網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供浦江營銷型網(wǎng)站建設(shè)，浦江網(wǎng)站制作、浦江網(wǎng)頁設(shè)計、浦江網(wǎng)站官網(wǎng)定制、微信小程序開發(fā)服務(wù)，打造浦江網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供浦江網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

【51CTO.com快譯】如今，越來越多的組織采用自動化技術(shù)通過云計算應(yīng)用程序?qū)崿F(xiàn)數(shù)字化轉(zhuǎn)型，而這也促使機器身份(ID)的數(shù)量快速增長。

事實上，機器身份(ID)的數(shù)量如今已經(jīng)達(dá)到人類用戶身份數(shù)量的3倍以上。雖然機器ID可以快速無誤地完成任務(wù)來提高生產(chǎn)力，但如此廣泛的應(yīng)用(采用不同的云計算應(yīng)用程序)讓組織獲得可見性和強制執(zhí)行最低權(quán)限訪問變得更加困難。這就是在多云中保護機器ID和實施機密治理至關(guān)重要的原因。如果不這樣做，將會增加組織的攻擊面，并影響業(yè)務(wù)運營。

在多云環(huán)境中，組織依靠權(quán)限過大的機器ID執(zhí)行各種任務(wù)(從運行腳本到修補漏洞)，這是因為它們執(zhí)行速度快、更具成本效益，并且犯的錯誤比人類少得多。

由于自動化技術(shù)在云平臺中的廣泛采用，機器ID數(shù)量激增。而令人不安的是，在許多情況下，這些ID和權(quán)限是靜態(tài)的，有時會被硬編碼到應(yīng)用程序中，導(dǎo)致它們具有不必要的、過時的且無法更換的長期權(quán)限。

分布在眾多云計算環(huán)境中的大量設(shè)備導(dǎo)致服務(wù)帳戶、機器人和機器人流程的增加。這些需要更加一致的訪問，不斷交換權(quán)限信息，并且它們大多脫離了人為監(jiān)督。更重要的是，隨著ID越來越深入地嵌入自主和自動化流程中，它們通常會承擔(dān)高級職責(zé)。

機器ID的激增促使組織的安全團隊加強監(jiān)控和管理工作，因為了解使用哪些權(quán)限、使用頻率，以及在什么情況下使用這些權(quán)限是至關(guān)重要的。

如果組織希望充分利用自動化在多云平臺應(yīng)用的優(yōu)勢，那么成功管理ID和訪問是必不可少的。在CloudOps團隊中尤其如此，他們的工作是以極快的速度構(gòu)建和交付產(chǎn)品。當(dāng)組織的任務(wù)采用自動化技術(shù)快速開發(fā)時，CloudOps團隊需要努力保持不會減慢生產(chǎn)速度。因此，將會為動態(tài)應(yīng)用程序測試等新任務(wù)創(chuàng)建新ID，但這可能會混淆管理可見性和用戶責(zé)任。

在授予訪問權(quán)限時，在內(nèi)部部署設(shè)施可能已經(jīng)擁有足夠的權(quán)限，但缺乏跨云平臺操作所需的自動化、權(quán)限訪問管理功能。而在很多時候，組織并沒有意識到與云平臺中機器ID相關(guān)的嚴(yán)重風(fēng)險。如果機器ID之間的過度權(quán)限訪問普遍存在且沒有得到管理，則會擴大組織的攻擊面和風(fēng)險。因此，當(dāng)網(wǎng)絡(luò)攻擊者劫持過度權(quán)限的機器ID時，他們可以入侵并訪問整個運行環(huán)境。

新的Cron工作

幾十年來，機器人的訪問權(quán)限已經(jīng)被集成到計算機化流程中。因此，它們在完成重復(fù)性任務(wù)方面變得比人類更有效率。

事實上，早在上世紀(jì)90年代末，工程師就在Linux服務(wù)器上使用機器ID來運行Cron作業(yè)，這需要諸如運行腳本、更新報告等批處理任務(wù)。直到現(xiàn)在，人類仍然依靠機器人來完成這些類型的任務(wù)。

問題在于，在多云環(huán)境中管理完成這些工作的機器人要復(fù)雜得多：使用數(shù)千臺機器ID的眾多云平臺缺乏可見性和控制性;安全團隊可能不知道哪些ID執(zhí)行哪些工作，因為它們是由云平臺構(gòu)建者設(shè)置的。機器人不會通過刪除基本權(quán)限來潛在地中斷運營，而是獲得許可，從而繼續(xù)使組織面臨更多的風(fēng)險。

從行為的角度來看，預(yù)測與機器ID相關(guān)的活動可能很困難。畢竟，機器人偶爾會表現(xiàn)出隨機行為，完成超出其通常權(quán)限范圍的任務(wù)。但是當(dāng)安全人員審核用戶ID權(quán)限時，他們會發(fā)現(xiàn)一個難以理解的ID列表，這些ID可能是必需的，也可能不是必需的。

這會導(dǎo)致危險的停滯。大量具有未知訪問權(quán)限的機器ID(在人為干預(yù)之外運行)會導(dǎo)致威脅范圍擴大。

增加可見性

組織應(yīng)該設(shè)法在所有云平臺(IaaS、DaaS、PaaS和SaaS)中獲得可見性，并控制機器ID的訪問。在理想情況下，它通過一個單一的管理平臺授予和撤銷權(quán)限。

就權(quán)限而言，組織的團隊?wèi)?yīng)該像對待人類一樣對待機器ID，并采用零持續(xù)權(quán)限(ZSP)策略。ZSP是多云安全的基準(zhǔn)，這意味著需要取消靜態(tài)權(quán)限，撤銷權(quán)限過高的帳戶，并消除過時或無關(guān)的帳戶。

這聽起來可能是一項復(fù)雜而艱巨的任務(wù)，但卻是保護云計算環(huán)境的必要步驟。幸運的是，現(xiàn)在有一些解決方案可以幫助組織增加可見性和控制權(quán)，并且不會中斷業(yè)務(wù)運營。

在多云環(huán)境中降低特權(quán)機器ID風(fēng)險的五種技術(shù)

(1)對所有用戶(人類和非人類)使用即時(JIT) 權(quán)限訪問

用戶和機器ID可以在會話或任務(wù)的持續(xù)時間、設(shè)定的時間期限內(nèi)，或直到用戶人工重新配置文件之前，快速檢出特定云計算服務(wù)的基于角色的提升權(quán)限配置文件。而在任務(wù)完成后，這些權(quán)限將會自動撤銷。

(2)保持零持續(xù)權(quán)限(ZSP)

動態(tài)添加和刪除權(quán)限可以使組織的CloudOps團隊保持零持續(xù)權(quán)限(ZSP)安全態(tài)勢。它基于零信任的概念，這意味著在默認(rèn)情況下，任何人員或事物都不受信任，并且無法獲得組織的云帳戶和數(shù)據(jù)的長期訪問權(quán)限。

(3)集中和擴展權(quán)限管理

在使用靜態(tài)ID時，最大限度地減少蔓延是一項關(guān)鍵挑戰(zhàn)，如今許多Clo??udOps團隊都在努力使用Excel電子表格人工管理ID和權(quán)限。集中配置可以在多云中自動執(zhí)行這一過程，從而顯著降低帳戶和數(shù)據(jù)面臨的風(fēng)險。

(4)通過高級數(shù)據(jù)分析(ADA)獲得統(tǒng)一訪問可見性

高級數(shù)據(jù)分析(ADA)使組織的團隊能夠通過單一管理平臺監(jiān)控多云平臺的運營環(huán)境。這一功能可識別特定于每個組織的權(quán)限訪問的問題，并為負(fù)責(zé)管理數(shù)千個用戶ID的團隊加強可見性和可靠性。

(5)將機密治理構(gòu)建到持續(xù)集成(CI)/持續(xù)交付(CD)流程中

組織可以即時授予和撤銷JIT權(quán)限，這在CloudOps團隊需要啟動臨時服務(wù)時非常理想。自動執(zhí)行通過策略調(diào)用的共享秘密輪換，并保護和簡化入職和離職流程。

而有限的可視性削弱了安全團隊的能力，讓安全管理更加復(fù)雜。而具有過度權(quán)限訪問的機器ID數(shù)量過多則意味著組織在保護多云環(huán)境時將面臨重大挑戰(zhàn)。

但是組織通過定義使用特權(quán)帳戶的用戶及其權(quán)限，取消不必要的訪問，并應(yīng)用即時權(quán)限訪問，可以確保多云環(huán)境的安全，并有效地部署自動化流程。

雖然沒有人知道云平臺使用了多少個機器ID，但這個數(shù)字正在迅速增加。這種加速增長標(biāo)志著業(yè)務(wù)運營的改善，但也表明了組織對于動態(tài)和強大的安全解決方案的需求。

組織在多云環(huán)境中運營的團隊?wèi)?yīng)與安全合作伙伴合作，這些合作伙伴可以在不中斷運營的情況下提供跨云覆蓋服務(wù)。這對于維護關(guān)鍵基礎(chǔ)設(shè)施的安全性和功能性至關(guān)重要。

文章題目：在多云中保護機器ID的五種技術(shù)
文章地址：http://uogjgqi.cn/article/djjdiie.html