组织需要知道谁在云计算环境中潜伏

云计算
安全研究人员指出了云平台可见性不佳面临的风险,并提出了评估谷歌云平台中身份和访问管理(IAM)的一种新策略。

大多数组织无法完全了解用户在云计算环境中可以做什么。他们不知道谁可以假冒其他身份来升级权限,或者将能够获得哪些权限——缺乏洞察力可能会使组织的业务面临风险。

Netskope公司高级安全研究员Colin Estep大约一年前开始研究谷歌云平台中的潜在安全漏洞。他试图了解组织如何评估其完整身份和访问管理(IAM)泄露,从而能够回答这样一个问题:你知道用户在你的云计算环境中可以做什么吗?

[[356305]]

Estep说,“总的来说,对于任何一个云平台,我都很感兴趣。而对于提出的这个真正基本的问题,没有人能够真正回答。很多人的回答是,‘不,我不知道每个用户都能做什么。我不知道其全部功能是什么。’”

他表示,云平台中的身份和访问管理(IAM)的普遍问题源于云计算环境的动态性质。不断变化的资源、正在兴起的新服务,以及云计算技术快速发展,使组织很难及时了解这些新服务的含义、它们的工作方式,以及对云中各种资源权限的含义。

Estep解释说:“这只是一件令人关注的事情。身份验证确实是关键领域之一,因为如果没有身份和访问管理(IAM)解决方案,那么可能会泄露敏感数据、滥用或删除资源。而在云计算环境中,各种事情都可能发生。”

Netskope公司以往一直采用AWS 云平台,由于该公司为了满足增加的客户需求而开始采用谷歌云平台。Estep发现谷歌云平台很有趣,并且在结构和授予员工权限的方式上与AWS 云平台有所不同。

他解释说:“我觉得谷歌云平台在设计布局时考虑了更多的问题……他们在云计算环境中有一个层次结构,用户可以在这个层次结构中分配权限。”谷歌云平台也没有设置“拒绝”政策。Estep表示,虽然谷歌云平台试图简化权限策略,但当管理员必须将不同的层放在一起以弄清楚到底发生了什么时,事情将可能会变得复杂。

这也是他决定将研究重点放在谷歌云平台上的部分原因,这也是他将在即将举办的欧洲黑帽大会上发布“谷歌云平台中的许可挖掘”演讲报告的主题。

Estep说,“如果攻击者获得更多访问权限,最糟糕的情况是什么?这难以想像。”作为研究的一部分,他开发了一个概念验证工具(PoC),供组织学习在云计算环境中授予员工的权限。当这个工具在生产环境中使用时,其应用结果比他预期的要糟糕。例如,发现了云平台的拥有者不知道有多少用户实际上是“影子管理员”的情况,这意味着他们可以升级权限,直到在组织级别上对云计算环境拥有完全的控制能力。Estep解释说,谷歌云平台有一个“组织”的概念,它是云计算环境的最高层,拥有组织管理级别的员工将会继承所有级别的管理功能。

他说:“获得这些权限的员工可以进入云平台,更改日志记录、创建资源、删除内容、访问所有数据,为自己添加用户。除了删除整个环境,他们可以做所有事情。”

通过了解谁拥有哪些权限,组织可以在发生数据泄露或其他安全事件发生之前消除风险。

服务驱动的复杂性降低了可见性

Estep指出,谷歌公司一直在关注这个问题,该公司在身份验证与授权方面做得很好。然而,云计算提供商之间存在一个广泛的问题,即提供更多的服务会提高复杂性。许多云计算提供商并没有为客户简化流程,而是创建更多的服务,并以某种方式解决其复杂性问题。

他以附加的控件为便,这些控件声明权限只能在特定情况下或在组织的特定部分中使用。但是,由于这些控件可能属于不同的服务,因此超出了正常权限。这为管理员查询用户的权限以查看他们能够访问的内容带来了问题。

Estep解释说:“这并不是全部,因为这些外部控件会对它们产生一定的影响。这些带来了更多复杂性的问题并非谷歌云平台独有。现在更让人头疼的是,作为用户必须考虑到这一点,也许他们不知道存在这些问题。”

解决方案成为焦点

Estep指出,谷歌云平台有许多层次结构和权限。为了理解这些,管理员必须同时查看所有层,这在控制台中很难做到。其解决方案旨在为组织提供一种简单的方法来规划授予成员的权限、谷歌云平台环境结构和服务帐户。

他说,“这个项目最初是一个PoC,我想知道是否能回答‘知道所有用户都能做什么吗’这个问题。”Netskope公司开发的解决方案将在BHEU发布,可以检查用户及其权限,以了解可以模拟哪些服务帐户。

该解决方案使用图表来映射实体和关系,以便管理员可以查看哪些权限已附加到谷歌云平台用户。一旦通过API调用获取了相关数据,该图表就会以一种易于理解的方式映射出管理员需要的信息。虽然Estep最初不想使用图形,但这是同时考虑许多不同层的最佳方法。

Estep表示,虽然没有考虑其他服务的解决可见性问题的这种方法并不成熟,但希望将来集成这种功能。

他说,“我们首先将所有权限汇总在一起,然后可以开始添加。”

 

责任编辑:赵宁宁 来源: 企业网D1Net
相关推荐

2011-09-20 10:56:35

云计算PaaS

2018-04-03 12:39:26

GDPR云计算云平台

2020-11-17 10:38:40

云计算工具技术

2022-12-30 11:24:21

2022-08-04 13:36:03

云计算SaaS云平台

2018-05-30 15:15:47

混合云公共云私有云

2021-01-11 18:33:07

云原生

2015-01-27 15:30:10

反监控监控探测SnoopSnitch

2017-05-25 10:44:38

云存储对象存储存储

2019-01-24 08:19:17

云服务多云云计算

2022-06-07 14:38:40

云原生架构云计算

2023-02-27 15:47:31

2014-03-11 10:30:26

混合云云服务应用

2023-10-16 13:36:00

边缘计算数据

2015-07-15 10:26:29

2022-10-21 14:01:35

边缘计算IT数据中心

2020-04-26 20:00:14

EmacsLinux

2018-09-10 09:26:33

2023-01-30 11:43:04

开源代码

2022-08-10 09:03:35

TypeScript前端
点赞
收藏

51CTO技术栈公众号