[[423604]]

【51CTO.com快譯】如今，越來越多的組織采用自動化技術(shù)通過云計(jì)算應(yīng)用程序?qū)崿F(xiàn)數(shù)字化轉(zhuǎn)型，而這也促使機(jī)器身份(ID)的數(shù)量快速增長。

事實(shí)上，機(jī)器身份(ID)的數(shù)量如今已經(jīng)達(dá)到人類用戶身份數(shù)量的3倍以上。雖然機(jī)器ID可以快速無誤地完成任務(wù)來提高生產(chǎn)力，但如此廣泛的應(yīng)用(采用不同的云計(jì)算應(yīng)用程序)讓組織獲得可見性和強(qiáng)制執(zhí)行最低權(quán)限訪問變得更加困難。這就是在多云中保護(hù)機(jī)器ID和實(shí)施機(jī)密治理至關(guān)重要的原因。如果不這樣做，將會增加組織的攻擊面，并影響業(yè)務(wù)運(yùn)營。

在多云環(huán)境中，組織依靠權(quán)限過大的機(jī)器ID執(zhí)行各種任務(wù)(從運(yùn)行腳本到修補(bǔ)漏洞)，這是因?yàn)樗鼈儓?zhí)行速度快、更具成本效益，并且犯的錯(cuò)誤比人類少得多。

由于自動化技術(shù)在云平臺中的廣泛采用，機(jī)器ID數(shù)量激增。而令人不安的是，在許多情況下，這些ID和權(quán)限是靜態(tài)的，有時(shí)會被硬編碼到應(yīng)用程序中，導(dǎo)致它們具有不必要的、過時(shí)的且無法更換的長期權(quán)限。

分布在眾多云計(jì)算環(huán)境中的大量設(shè)備導(dǎo)致服務(wù)帳戶、機(jī)器人和機(jī)器人流程的增加。這些需要更加一致的訪問，不斷交換權(quán)限信息，并且它們大多脫離了人為監(jiān)督。更重要的是，隨著ID越來越深入地嵌入自主和自動化流程中，它們通常會承擔(dān)高級職責(zé)。

機(jī)器ID的激增促使組織的安全團(tuán)隊(duì)加強(qiáng)監(jiān)控和管理工作，因?yàn)榱私馐褂媚男?quán)限、使用頻率，以及在什么情況下使用這些權(quán)限是至關(guān)重要的。

如果組織希望充分利用自動化在多云平臺應(yīng)用的優(yōu)勢，那么成功管理ID和訪問是必不可少的。在CloudOps團(tuán)隊(duì)中尤其如此，他們的工作是以極快的速度構(gòu)建和交付產(chǎn)品。當(dāng)組織的任務(wù)采用自動化技術(shù)快速開發(fā)時(shí)，CloudOps團(tuán)隊(duì)需要努力保持不會減慢生產(chǎn)速度。因此，將會為動態(tài)應(yīng)用程序測試等新任務(wù)創(chuàng)建新ID，但這可能會混淆管理可見性和用戶責(zé)任。

在授予訪問權(quán)限時(shí)，在內(nèi)部部署設(shè)施可能已經(jīng)擁有足夠的權(quán)限，但缺乏跨云平臺操作所需的自動化、權(quán)限訪問管理功能。而在很多時(shí)候，組織并沒有意識到與云平臺中機(jī)器ID相關(guān)的嚴(yán)重風(fēng)險(xiǎn)。如果機(jī)器ID之間的過度權(quán)限訪問普遍存在且沒有得到管理，則會擴(kuò)大組織的攻擊面和風(fēng)險(xiǎn)。因此，當(dāng)網(wǎng)絡(luò)攻擊者劫持過度權(quán)限的機(jī)器ID時(shí)，他們可以入侵并訪問整個(gè)運(yùn)行環(huán)境。

新的Cron工作

幾十年來，機(jī)器人的訪問權(quán)限已經(jīng)被集成到計(jì)算機(jī)化流程中。因此，它們在完成重復(fù)性任務(wù)方面變得比人類更有效率。

事實(shí)上，早在上世紀(jì)90年代末，工程師就在Linux服務(wù)器上使用機(jī)器ID來運(yùn)行Cron作業(yè)，這需要諸如運(yùn)行腳本、更新報(bào)告等批處理任務(wù)。直到現(xiàn)在，人類仍然依靠機(jī)器人來完成這些類型的任務(wù)。

問題在于，在多云環(huán)境中管理完成這些工作的機(jī)器人要復(fù)雜得多：使用數(shù)千臺機(jī)器ID的眾多云平臺缺乏可見性和控制性;安全團(tuán)隊(duì)可能不知道哪些ID執(zhí)行哪些工作，因?yàn)樗鼈兪怯稍破脚_構(gòu)建者設(shè)置的。機(jī)器人不會通過刪除基本權(quán)限來潛在地中斷運(yùn)營，而是獲得許可，從而繼續(xù)使組織面臨更多的風(fēng)險(xiǎn)。

從行為的角度來看，預(yù)測與機(jī)器ID相關(guān)的活動可能很困難。畢竟，機(jī)器人偶爾會表現(xiàn)出隨機(jī)行為，完成超出其通常權(quán)限范圍的任務(wù)。但是當(dāng)安全人員審核用戶ID權(quán)限時(shí)，他們會發(fā)現(xiàn)一個(gè)難以理解的ID列表，這些ID可能是必需的，也可能不是必需的。

這會導(dǎo)致危險(xiǎn)的停滯。大量具有未知訪問權(quán)限的機(jī)器ID(在人為干預(yù)之外運(yùn)行)會導(dǎo)致威脅范圍擴(kuò)大。

增加可見性

組織應(yīng)該設(shè)法在所有云平臺(IaaS、DaaS、PaaS和SaaS)中獲得可見性，并控制機(jī)器ID的訪問。在理想情況下，它通過一個(gè)單一的管理平臺授予和撤銷權(quán)限。

就權(quán)限而言，組織的團(tuán)隊(duì)?wèi)?yīng)該像對待人類一樣對待機(jī)器ID，并采用零持續(xù)權(quán)限(ZSP)策略。ZSP是多云安全的基準(zhǔn)，這意味著需要取消靜態(tài)權(quán)限，撤銷權(quán)限過高的帳戶，并消除過時(shí)或無關(guān)的帳戶。

這聽起來可能是一項(xiàng)復(fù)雜而艱巨的任務(wù)，但卻是保護(hù)云計(jì)算環(huán)境的必要步驟。幸運(yùn)的是，現(xiàn)在有一些解決方案可以幫助組織增加可見性和控制權(quán)，并且不會中斷業(yè)務(wù)運(yùn)營。

在多云環(huán)境中降低特權(quán)機(jī)器ID風(fēng)險(xiǎn)的五種技術(shù)

(1)對所有用戶(人類和非人類)使用即時(shí)(JIT) 權(quán)限訪問

用戶和機(jī)器ID可以在會話或任務(wù)的持續(xù)時(shí)間、設(shè)定的時(shí)間期限內(nèi)，或直到用戶人工重新配置文件之前，快速檢出特定云計(jì)算服務(wù)的基于角色的提升權(quán)限配置文件。而在任務(wù)完成后，這些權(quán)限將會自動撤銷。

(2)保持零持續(xù)權(quán)限(ZSP)

動態(tài)添加和刪除權(quán)限可以使組織的CloudOps團(tuán)隊(duì)保持零持續(xù)權(quán)限(ZSP)安全態(tài)勢。它基于零信任的概念，這意味著在默認(rèn)情況下，任何人員或事物都不受信任，并且無法獲得組織的云帳戶和數(shù)據(jù)的長期訪問權(quán)限。

(3)集中和擴(kuò)展權(quán)限管理

在使用靜態(tài)ID時(shí)，最大限度地減少蔓延是一項(xiàng)關(guān)鍵挑戰(zhàn)，如今許多Clo​​udOps團(tuán)隊(duì)都在努力使用Excel電子表格人工管理ID和權(quán)限。集中配置可以在多云中自動執(zhí)行這一過程，從而顯著降低帳戶和數(shù)據(jù)面臨的風(fēng)險(xiǎn)。

(4)通過高級數(shù)據(jù)分析(ADA)獲得統(tǒng)一訪問可見性

高級數(shù)據(jù)分析(ADA)使組織的團(tuán)隊(duì)能夠通過單一管理平臺監(jiān)控多云平臺的運(yùn)營環(huán)境。這一功能可識別特定于每個(gè)組織的權(quán)限訪問的問題，并為負(fù)責(zé)管理數(shù)千個(gè)用戶ID的團(tuán)隊(duì)加強(qiáng)可見性和可靠性。

(5)將機(jī)密治理構(gòu)建到持續(xù)集成(CI)/持續(xù)交付(CD)流程中

組織可以即時(shí)授予和撤銷JIT權(quán)限，這在CloudOps團(tuán)隊(duì)需要啟動臨時(shí)服務(wù)時(shí)非常理想。自動執(zhí)行通過策略調(diào)用的共享秘密輪換，并保護(hù)和簡化入職和離職流程。

而有限的可視性削弱了安全團(tuán)隊(duì)的能力，讓安全管理更加復(fù)雜。而具有過度權(quán)限訪問的機(jī)器ID數(shù)量過多則意味著組織在保護(hù)多云環(huán)境時(shí)將面臨重大挑戰(zhàn)。

但是組織通過定義使用特權(quán)帳戶的用戶及其權(quán)限，取消不必要的訪問，并應(yīng)用即時(shí)權(quán)限訪問，可以確保多云環(huán)境的安全，并有效地部署自動化流程。

雖然沒有人知道云平臺使用了多少個(gè)機(jī)器ID，但這個(gè)數(shù)字正在迅速增加。這種加速增長標(biāo)志著業(yè)務(wù)運(yùn)營的改善，但也表明了組織對于動態(tài)和強(qiáng)大的安全解決方案的需求。

組織在多云環(huán)境中運(yùn)營的團(tuán)隊(duì)?wèi)?yīng)與安全合作伙伴合作，這些合作伙伴可以在不中斷運(yùn)營的情況下提供跨云覆蓋服務(wù)。這對于維護(hù)關(guān)鍵基礎(chǔ)設(shè)施的安全性和功能性至關(guān)重要。

原文標(biāo)題：Protecting Machine IDs in Multi-Cloud: 5 Techniques，作者：Art Poghosyan

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】