文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

云安全风险为何转向身份与授权?

2024-12-03 05:47

关注

Gartner预测,到2023年,因身份、接入和特权账户缺乏妥善管理造成的安全问题,会从2020年50%上升到75%。这个情况是由多个因素导致的,一个比较常见的原因是过多、或者无必要的授权——给攻击者提供了近百种攻击的方式。

[[398112]]

追踪云端的授权会消耗大量的人力和时间,但许多组织会希望能将这项任务完成得更好——这不难理解,毕竟当前大部分云原生平台的工具无法为权限和活动提供有效的可视化或者关联能力。

而另一方面,大部分IAM工具,比如身份治理与管理(IGA)和特权管理(PAM),一般都局限于部署好的架构中;而当向云端迁移的时候,这些解决方案缺乏颗粒度和资源级的可视化能力,对接入风险和过当许可进行识别或者修复。

因此,许多组织使用了一些相对有限的安全工具,比如CSPM、CASB、CWPP等。这些工具要么太宽泛、要么太狭隘、或者是对所有的身份接入提供接入风险的分析。

三步走守护云端身份安全

云架构的安全需要一个对所有身份的统一、深入的视角,理解全栈的接入权限和特权以及他们相关的风险。

首先第一步是发现所有的授权,包括人员、机器,他们可以接入资源,以及相关的权限。这种可视性会导致过多或者没有必要的许可、错误配置、网络暴露等其他异常情况。这包括了通过识别包括用户、服务、第三方应用、外部的身份供应商的相关身份等身份类型;还需要评估相关的许可,以及许可管理、数据泄露、架构调整、提权、嗅探等风险因素。拥有这些可视性可以持续性地消除授权过度,减少因外部或者内部恶意人员造成的风险。

下一步就是评估一些特别的实体,比如IAM角色和分组来决定给与的接入和许可是否正当,或者时是否需要修改。这不局限于某个实体的常规信息,还需要一个包含该实体所有许可的详细信息。一个相反的方向也可以用来识别资源——通过数据、计算机、安全或者管理等;这些内容也很敏感,所以需要理解哪些用户和角色可以接入它们。这些包括了接入权限和网络配置,从而可以得到一个可靠的风险评估。比如,一个数据库可能看上去有安全隐患,但是通过网络配置对某些授权进行保护就可以消除这个风险。

最后一步是监控身份的活动日志和资源,来获取更为广阔的公有云环境视野;这能够帮助进一步理解权限的使用情况,从而调查可疑的接入情况和事件。

一些新的工具

CASB、CSPM和CWPP等传统云安全工具并不是为了解决这些问题而设计的——Gartner把这些问题称作云架构授权管理(Cloud Infrastructure Entitlement Management,CIEM),而Forrester则成为云架构治理(Cloud Infrastructure Governance,CIG)。现在需要的是云原生的能力来贯彻最低权限的理念。

 

 

来源:数世咨询内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯