首先,我们探讨下云管理控制台,管理员可以使用这些控制台来设置整个云环境,监督所有类型的云活动(即,使用跟踪,数据集成,资源部署等)并配置操作和安全设置。在我们深入研究之前,先来看一下云的当前状态。
尽管对于某些组织而言,实现完全基于云的IT基础架构才是最终的数字化转型目标,但目前绝大多数组织都在采用混合云方法。根据最近的一项行业研究,有93%的企业制定了多云策略。与此同时,随着世界适应新的现实,软件即服务(SaaS)的使用持续激增,使公司能够开展关键业务并授权员工可以远程工作。
不可否认的是,在云中运行企业应用程序和部署云基础架构带来了一些商业优势,如,增强的灵活性、简化的操作、节省的成本和可扩展性。但是,每种云部署方案都会带来新的风险。在COVID-19之后尤其如此。随着领导者加快其云计算旅程以实现快速数字化,云中的关键数据和资产成为了攻击者们的主要目标。仅在2020年的前几个月内,针对云的网络攻击就以惊人的速度增长了630%。
现在比以往任何时候都更重要的是,组织必须充分了解自己在保护云工作负载方面的角色,将其作为共享责任模型的一部分。虽然云提供商负责云基础架构本身,但云客户必须确保其数据、应用程序、操作系统,支持的基础架构以及在云环境中运行的资产的安全。
与人类用户、应用程序和机器身份相关的特权帐户功能异常强大,并且极易在云中遭到破坏。在这样的环境中保护特权访问至关重要,而云客户责无旁贷。实际上,强大的特权访问管理(PAM)和身份访问管理(IAM)控件可以缓解当今超过一半的顶级云计算威胁。
由于云管理控制台和门户能够完全控制组织的云资源,因此它们是网络攻击者的主要目标,必须保护和监视对它们的所有访问。对于功能强大的根级帐户尤其如此(具有不可撤销的管理特权的帐户),例如AWS根用户帐户,Azure全局管理员角色和Google Cloud Platform(GCP)超级用户帐户。
1.将所有云管理控制台访问(针对人类和机器用户)都视为特权。 首先,确定用户、应用程序或计算机执行其指定任务所需的权限。为每个用户角色构建角色,并遵循最小特权原则,仅允许他们访问所需的内容。实施特权访问管理控制,包括会话隔离、监视和凭据轮换,以降低风险。
2.实施即时访问以减少攻击面。 通过提供对云管理控制台的即时访问(而不是长期访问),可以在启动会话时提供权限,有助于确保只有正确的用户才能在正确的时间访问正确的资产。
3.使用单点登录(SSO)和多因素身份验证(MFA)保护所有人对云控制台的访问。 无论对云控制台的访问是静态的还是临时的,人员访问都应该受到SSO和MFA的保护。SSO使用户可以更轻松地访问其工作的应用程序,而不必记住多个密码。此外,通过SAML到云控制台的SSO使联邦用户可以在云提供商中扮演角色。角色是具有特定权限的IAM标识,任何需要它的人都可以使用它,它与特定用户没有关联,也没有长期凭据。角色的目的是仅为该特定会话提供对控制台的临时访问。同时,MFA通过要求用户进行多次身份验证挑战来确认用户的身份。
4.安全的API和对云管理控制台的自动访问。 可以由自动化脚本通过API访问密钥访问云管理控制台和门户。这些API密钥具有很高的特权和强大的功能,例如,它们可以使脚本或用户停止或启动虚拟服务器,复制数据库甚至清除整个工作负载。为了保护您的云工作负载,保护API密钥和应用最小特权是必不可少的。
5.跨多云、本地和混合环境向管理员一致地应用访问策略。 只需一个安全管理员就可以删除整个云环境配置。出于安全和审计的目的,必须进行严格的特权访问监督。记录管理员活动并监视活动会话,根据预定义的风险行为和活动分配会话风险评分,例如在非工作时间或从不规则的位置访问控制台。这使组织能够快速识别滥用情况,并在怀疑潜在攻击时终止会话。
攻击者可以找到并滥用权限来提升特权,成为完整的云管理员。此外,他们还可以轻松地使用这些权限来隐藏影子实体,这些实体可以用作云环境的后门。扫描您的环境以发现特权实体(用户,组和角色)并暴露隐藏的影子管理员。
目前,您可能正在使用DevOps管道扩展云计划,以提高业务灵活性。或者您正在寻找按需计算和存储以节省成本。无论您处在云计算旅途中的何处,都必须在整个组织中一致地实施特权访问和身份策略,以减少风险并保护您的关键资产。
文章来源:cyberark.com/resources/blog/5-best-practices-for-securing-privileged-access-and-identities-in-the-cloud-management-console
「龙归科技」 是一个专注于低代码赋能企业级信息化服务提供商。核心创始人团队来自绿盟安全、红帽开源操作系统、知名游戏玩蟹科技、知名开源社区等专家共同创立。
「龙归科技」 致力于让中国每一个企业拥有专属的自动化办公操作系统,助力企业或政府拥抱 (Cloud Native First)云原生优先战略,帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施!从而实现 「数字化转型」 及 「软件行业工业化生产」 !
主打产品:ArkOS方舟操作系统:一个企业级办公自动化操作系统 ,结合自研低代码应用开发平台,构建产业生态,专注为各类企业与组织机构打造一体化全栈云原生平台。系统自带应用包括:ArkID 统一身份认证,ArkIDE,ArkPlatform,App Store 等产品。截至目前,公司已经获得 15个 软件著作权、2个发明专利,并与2020年11月份,获得北京海淀区中关村国家高新技术企业认定。
官网:https://www.longguikeji.com/
文档:https://docs.arkid.longguikeji.com/
开源代码仓库地址:
https://github.com/longguikeji
https://gitee.com/longguikeji
历史文章