云端自動化的廣泛采用，意味著系統(tǒng)ID數(shù)量的增長速度是人類用戶的兩倍。因為，在多云環(huán)境下，越權(quán)(over-privileged)的系統(tǒng)ID可以更快、更高效地執(zhí)行從運行腳本到修補漏洞的各項任務，而且其犯的錯誤比人類用戶少。雖然系統(tǒng)ID可以快速無誤地完成任務并提高生產(chǎn)力，但這種跨不同云應用程序的廣泛使用，使組織很難獲得對系統(tǒng)ID的可見性，及強制執(zhí)行最低權(quán)限訪問。這就是為什么跨云管控系統(tǒng)ID和實施機密管理至關重要的原因，不這么做會加大組織的攻擊面，并危及業(yè)務運營。

系統(tǒng)ID數(shù)量的激增，需要安全團隊加強監(jiān)管工作，因為了解使用哪些權(quán)限、使用多頻繁以及在什么情況下使用至關重要。如果組織打算充分享用跨云自動化的好處，就必須成功地管理身份和訪問。這在CloudOps團隊中尤其如此，他們的工作是迅速地構(gòu)建和交付產(chǎn)品，云構(gòu)建團隊為了不阻礙開發(fā)效率，會為新任務(比如應用程序動態(tài)測試)創(chuàng)建新的系統(tǒng)ID，這可能妨礙管理的可見性和用戶責任制。很多時候，組織往往意識不到到云端系統(tǒng)ID方面的嚴重風險。如果組織中普遍存在系統(tǒng)ID訪問權(quán)限過大且不受管理的情況，就會加大其攻擊面和風險。一旦攻擊者劫持了權(quán)限過大的身份，就可以橫向移動，進而訪問整個環(huán)境。

例如，早在上世紀90年代后期，工程師就在Linux上使用服務ID來運行cron job(計劃任務)，這需要運行腳本和更新報告之類的批處理任務。直到今天，人類仍依靠系統(tǒng)完成這些類型的任務。問題在于，在現(xiàn)代多云環(huán)境下，管理完成這些工作的系統(tǒng)要復雜得多——組織使用眾多平臺的數(shù)千個系統(tǒng)ID，使其缺乏可見性和控制度，安全團隊可能不知道哪些ID執(zhí)行哪些工作，因為它們是由云構(gòu)建者設置的，這就大大增加了攻擊者的攻擊面。

從行為的角度來看，預測與系統(tǒng)ID相關的活動可能很困難。畢竟，系統(tǒng)偶爾會出現(xiàn)隨機行為，完成超出通常職責范圍的任務。但是當安全負責人試圖審核ID用戶權(quán)限時，他們會發(fā)現(xiàn)一長串費解的可能沒必要的ID。這導致危險的停滯狀態(tài)。如果組織中有太多權(quán)限訪問數(shù)量不明的系統(tǒng)ID在人為干預之外運行，會導致威脅加大。組織應設法獲得跨所有云平臺(IaaS、DaaS、PaaS和SaaS)的可見性，并控制系統(tǒng)ID的特權(quán)訪問。

理想情況下，這種管控來自單一的管理平臺，授予和撤銷權(quán)限就像點擊按鈕一樣簡單。至于系統(tǒng)ID的權(quán)限，安全團隊應該像對待人一樣對待系統(tǒng)ID，采用零常設權(quán)限(ZSP)政策——ZSP是多云安全的基準。這意味著摒棄靜態(tài)權(quán)限或機密、撤銷越權(quán)帳戶，以及消除過時或不必要的帳戶。這聽起來像是復雜而艱巨的任務，卻是保護云環(huán)境的必要步驟。幸好，現(xiàn)在有幾種解決方案可以幫助組織獲得可見性、實施控制以及不中斷業(yè)務運營。

降低多云環(huán)境下越權(quán)系統(tǒng)ID風險的五種手段

1. 對所有用戶(人類和非人類)使用即時(JIT)權(quán)限訪問

無論在會話或任務持續(xù)期間、或是指定的時間段內(nèi)，還是用戶手動重新核查配置文件，都需要對所有用戶(用戶和機器ID)使用即時(JIT)權(quán)限訪問，一旦任務完成，這些權(quán)限就被自動撤銷。

2. 保持零常設權(quán)限

動態(tài)添加和刪除權(quán)限，使企業(yè)CloudOps團隊能夠保持零常設權(quán)限(ZSP)安全態(tài)勢。它適用于零信任概念，意味著在默認情況下，沒有任何人或設備可以一直訪問企業(yè)的云帳戶和數(shù)據(jù)。

3. 集中和擴展權(quán)限管理

使用靜態(tài)身份時，盡量減少散亂現(xiàn)象是一大挑戰(zhàn)，如今許多CloudOps團隊在努力使用 Excel電子表格來手動管理ID和權(quán)限。集中式配置可以跨所有云資源自動執(zhí)行這個過程，從而大大降低出錯、及帳戶和數(shù)據(jù)面臨更大風險的可能性。

4. 借助高級數(shù)據(jù)分析(ADA)獲得統(tǒng)一的訪問可見性

ADA使團隊能夠從單一管理平臺跨所有平臺監(jiān)控整個環(huán)境，這項功能可識別每個組織特定的權(quán)限訪問問題，并讓負責管理數(shù)千個用戶ID的安全團隊能夠做到心中有數(shù)。

5. 將機密管理引入到CI/CD流程中

可以實時授予和撤銷JIT機密，這在CloudOps需要啟動臨時服務時很理想，它自動執(zhí)行通過策略來調(diào)用的共享機密輪換機制，并保護和簡化入職和離職流程。

有限的可見性阻礙了安全團隊，并加劇了原本很復雜的情形。擁有越權(quán)訪問的系統(tǒng)ID過多，意味著組織在保護多云環(huán)境時面臨重大挑戰(zhàn)。但是如果能定義誰在什么權(quán)限下使用特權(quán)帳戶、撤銷不必要的訪問，以及運用即時權(quán)限訪問，組織就可以保護多云環(huán)境，并放心地部署自動化流程。

沒人知道如今在云端到底使用了多少系統(tǒng)ID，我們只知道這個數(shù)字在迅速增加。雖然這種增加表明了業(yè)務運營有所改善，但也表明了需要動態(tài)可靠的安全解決方案。多云環(huán)境下工作的團隊應與能夠跨云環(huán)境確保安全，又不干擾運營的安全合作伙伴合作。這對于確保關鍵基礎設施的安全性和功能性至關重要。

參考鏈接：https://www.eweek.com/enterprise-apps/protecting-machine-ids-in-multi-cloud-5-techniques/

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文