身份已经成为云端的主要攻击面。然而,身份的保护依然非常缺乏,因为传统工具主要被用于边界防护,而非用户或者服务账户。
Gartner预测,到2023年,因身份、接入和特权账户缺乏妥善管理造成的安全问题,会从2020年50%上升到75%。这个情况是由多个因素导致的,一个比较常见的原因是过多、或者无必要的授权——给攻击者提供了近百种攻击的方式。
追踪云端的授权会消耗大量的人力和时间,但许多组织会希望能将这项任务完成得更好——这不难理解,毕竟当前大部分云原生平台的工具无法为权限和活动提供有效的可视化或者关联能力。
而另一方面,大部分IAM工具,比如身份治理与管理(IGA)和特权管理(PAM),一般都局限于部署好的架构中;而当向云端迁移的时候,这些解决方案缺乏颗粒度和资源级的可视化能力,对接入风险和过当许可进行识别或者修复。
因此,许多组织使用了一些相对有限的安全工具,比如CSPM、CASB、CWPP等。这些工具要么太宽泛、要么太狭隘、或者是对所有的身份接入提供接入风险的分析。
三步走守护云端身份安全
云架构的安全需要一个对所有身份的统一、深入的视角,理解全栈的接入权限和特权以及他们相关的风险。
首先第一步是发现所有的授权,包括人员、机器,他们可以接入资源,以及相关的权限。这种可视性会导致过多或者没有必要的许可、错误配置、网络暴露等其他异常情况。这包括了通过识别包括用户、服务、第三方应用、外部的身份供应商的相关身份等身份类型;还需要评估相关的许可,以及许可管理、数据泄露、架构调整、提权、嗅探等风险因素。拥有这些可视性可以持续性地消除授权过度,减少因外部或者内部恶意人员造成的风险。
下一步就是评估一些特别的实体,比如IAM角色和分组来决定给与的接入和许可是否正当,或者时是否需要修改。这不局限于某个实体的常规信息,还需要一个包含该实体所有许可的详细信息。一个相反的方向也可以用来识别资源——通过数据、计算机、安全或者管理等;这些内容也很敏感,所以需要理解哪些用户和角色可以接入它们。这些包括了接入权限和网络配置,从而可以得到一个可靠的风险评估。比如,一个数据库可能看上去有安全隐患,但是通过网络配置对某些授权进行保护就可以消除这个风险。
最后一步是监控身份的活动日志和资源,来获取更为广阔的公有云环境视野;这能够帮助进一步理解权限的使用情况,从而调查可疑的接入情况和事件。
一些新的工具
CASB、CSPM和CWPP等传统云安全工具并不是为了解决这些问题而设计的——Gartner把这些问题称作云架构授权管理(Cloud Infrastructure Entitlement Management,CIEM),而Forrester则成为云架构治理(Cloud Infrastructure Governance,CIG)。现在需要的是云原生的能力来贯彻最低权限的理念。