【51CTO.com快译】如今,越来越多的组织采用自动化技术通过云计算应用程序实现数字化转型,而这也促使机器身份(ID)的数量快速增长。
事实上,机器身份(ID)的数量如今已经达到人类用户身份数量的3倍以上。虽然机器ID可以快速无误地完成任务来提高生产力,但如此广泛的应用(采用不同的云计算应用程序)让组织获得可见性和强制执行最低权限访问变得更加困难。这就是在多云中保护机器ID和实施机密治理至关重要的原因。如果不这样做,将会增加组织的攻击面,并影响业务运营。
在多云环境中,组织依靠权限过大的机器ID执行各种任务(从运行脚本到修补漏洞),这是因为它们执行速度快、更具成本效益,并且犯的错误比人类少得多。
由于自动化技术在云平台中的广泛采用,机器ID数量激增。而令人不安的是,在许多情况下,这些ID和权限是静态的,有时会被硬编码到应用程序中,导致它们具有不必要的、过时的且无法更换的长期权限。
分布在众多云计算环境中的大量设备导致服务帐户、机器人和机器人流程的增加。这些需要更加一致的访问,不断交换权限信息,并且它们大多脱离了人为监督。更重要的是,随着ID越来越深入地嵌入自主和自动化流程中,它们通常会承担高级职责。
机器ID的激增促使组织的安全团队加强监控和管理工作,因为了解使用哪些权限、使用频率,以及在什么情况下使用这些权限是至关重要的。
如果组织希望充分利用自动化在多云平台应用的优势,那么成功管理ID和访问是必不可少的。在CloudOps团队中尤其如此,他们的工作是以极快的速度构建和交付产品。当组织的任务采用自动化技术快速开发时,CloudOps团队需要努力保持不会减慢生产速度。因此,将会为动态应用程序测试等新任务创建新ID,但这可能会混淆管理可见性和用户责任。
在授予访问权限时,在内部部署设施可能已经拥有足够的权限,但缺乏跨云平台操作所需的自动化、权限访问管理功能。而在很多时候,组织并没有意识到与云平台中机器ID相关的严重风险。如果机器ID之间的过度权限访问普遍存在且没有得到管理,则会扩大组织的攻击面和风险。因此,当网络攻击者劫持过度权限的机器ID时,他们可以入侵并访问整个运行环境。
新的Cron工作
几十年来,机器人的访问权限已经被集成到计算机化流程中。因此,它们在完成重复性任务方面变得比人类更有效率。
事实上,早在上世纪90年代末,工程师就在Linux服务器上使用机器ID来运行Cron作业,这需要诸如运行脚本、更新报告等批处理任务。直到现在,人类仍然依靠机器人来完成这些类型的任务。
问题在于,在多云环境中管理完成这些工作的机器人要复杂得多:使用数千台机器ID的众多云平台缺乏可见性和控制性;安全团队可能不知道哪些ID执行哪些工作,因为它们是由云平台构建者设置的。机器人不会通过删除基本权限来潜在地中断运营,而是获得许可,从而继续使组织面临更多的风险。
从行为的角度来看,预测与机器ID相关的活动可能很困难。毕竟,机器人偶尔会表现出随机行为,完成超出其通常权限范围的任务。但是当安全人员审核用户ID权限时,他们会发现一个难以理解的ID列表,这些ID可能是必需的,也可能不是必需的。
这会导致危险的停滞。大量具有未知访问权限的机器ID(在人为干预之外运行)会导致威胁范围扩大。
增加可见性
组织应该设法在所有云平台(IaaS、DaaS、PaaS和SaaS)中获得可见性,并控制机器ID的访问。在理想情况下,它通过一个单一的管理平台授予和撤销权限。
就权限而言,组织的团队应该像对待人类一样对待机器ID,并采用零持续权限(ZSP)策略。ZSP是多云安全的基准,这意味着需要取消静态权限,撤销权限过高的帐户,并消除过时或无关的帐户。
这听起来可能是一项复杂而艰巨的任务,但却是保护云计算环境的必要步骤。幸运的是,现在有一些解决方案可以帮助组织增加可见性和控制权,并且不会中断业务运营。
在多云环境中降低特权机器ID风险的五种技术
(1)对所有用户(人类和非人类)使用即时(JIT) 权限访问
用户和机器ID可以在会话或任务的持续时间、设定的时间期限内,或直到用户人工重新配置文件之前,快速检出特定云计算服务的基于角色的提升权限配置文件。而在任务完成后,这些权限将会自动撤销。
(2)保持零持续权限(ZSP)
动态添加和删除权限可以使组织的CloudOps团队保持零持续权限(ZSP)安全态势。它基于零信任的概念,这意味着在默认情况下,任何人员或事物都不受信任,并且无法获得组织的云帐户和数据的长期访问权限。
(3)集中和扩展权限管理
在使用静态ID时,最大限度地减少蔓延是一项关键挑战,如今许多CloudOps团队都在努力使用Excel电子表格人工管理ID和权限。集中配置可以在多云中自动执行这一过程,从而显著降低帐户和数据面临的风险。
(4)通过高级数据分析(ADA)获得统一访问可见性
高级数据分析(ADA)使组织的团队能够通过单一管理平台监控多云平台的运营环境。这一功能可识别特定于每个组织的权限访问的问题,并为负责管理数千个用户ID的团队加强可见性和可靠性。
(5)将机密治理构建到持续集成(CI)/持续交付(CD)流程中
组织可以即时授予和撤销JIT权限,这在CloudOps团队需要启动临时服务时非常理想。自动执行通过策略调用的共享秘密轮换,并保护和简化入职和离职流程。
而有限的可视性削弱了安全团队的能力,让安全管理更加复杂。而具有过度权限访问的机器ID数量过多则意味着组织在保护多云环境时将面临重大挑战。
但是组织通过定义使用特权帐户的用户及其权限,取消不必要的访问,并应用即时权限访问,可以确保多云环境的安全,并有效地部署自动化流程。
虽然没有人知道云平台使用了多少个机器ID,但这个数字正在迅速增加。这种加速增长标志着业务运营的改善,但也表明了组织对于动态和强大的安全解决方案的需求。
组织在多云环境中运营的团队应与安全合作伙伴合作,这些合作伙伴可以在不中断运营的情况下提供跨云覆盖服务。这对于维护关键基础设施的安全性和功能性至关重要。
原文标题:Protecting Machine IDs in Multi-Cloud: 5 Techniques,作者:Art Poghosyan
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】