云服務(wù)的廣泛使用和“以數(shù)據(jù)為中心”的應(yīng)用增加導(dǎo)致了在大量的數(shù)據(jù)存儲(chǔ)中包含了隱私信息。而在訪問(wèn)這些海量數(shù)據(jù)的時(shí)候，就會(huì)產(chǎn)生一個(gè)名為“影子訪問(wèn)”（Shadow Access）的新威脅。

從本質(zhì)上說(shuō)，影子訪問(wèn)就是對(duì)云數(shù)據(jù)、應(yīng)用系統(tǒng)的不受監(jiān)控、未經(jīng)授權(quán)、不可見、不安全以及被過(guò)度許可的訪問(wèn)，最重要的是，它正隨著云身份、應(yīng)用程序和數(shù)據(jù)的增長(zhǎng)而增長(zhǎng)。影子訪問(wèn)增加了云上數(shù)據(jù)泄露的風(fēng)險(xiǎn)，并進(jìn)一步引發(fā)訪問(wèn)合規(guī)、審計(jì)和治理方面的風(fēng)險(xiǎn)威脅。在企業(yè)組織中，任何形式的影子訪問(wèn)都不應(yīng)該存在，其引發(fā)的后果往往會(huì)是災(zāi)難性的，并威脅到任何向云上轉(zhuǎn)型發(fā)展的組織。

云身份發(fā)展的新特性

企業(yè)需要給云中運(yùn)行的所有應(yīng)用都賦予一個(gè)身份，這樣才可以安全訪問(wèn)關(guān)鍵的云服務(wù)、供應(yīng)鏈或數(shù)據(jù)。因此，云應(yīng)用訪問(wèn)武器化是云計(jì)算應(yīng)用發(fā)展的一個(gè)重要問(wèn)題。據(jù)Verizon最新發(fā)布的《數(shù)據(jù)泄露調(diào)查報(bào)告（DBIR）》強(qiáng)調(diào)，80%的數(shù)據(jù)泄露與身份訪問(wèn)權(quán)限異常有關(guān)。數(shù)以兆計(jì)的數(shù)據(jù)被存儲(chǔ)在云平臺(tái)上，這推動(dòng)了對(duì)這些數(shù)據(jù)訪問(wèn)的巨大需求，但是當(dāng)企業(yè)組織自動(dòng)創(chuàng)建了大量的身份訪問(wèn)權(quán)限時(shí)，有時(shí)卻沒(méi)有賦予任何治理措施。

開發(fā)人員和產(chǎn)品團(tuán)隊(duì)正在迅速將云服務(wù)與數(shù)據(jù)結(jié)合起來(lái)，以創(chuàng)建新的應(yīng)用程序，如人工智能聊天機(jī)器人、客戶數(shù)據(jù)平臺(tái)、軟件供應(yīng)鏈和第三方SaaS。這就催生了不斷擴(kuò)大的云訪問(wèn)面，同時(shí)也創(chuàng)建了不可見和易受攻擊的訪問(wèn)鏈，外部攻擊者可以迅速將其武器化，以竊取敏感數(shù)據(jù)。

在很多傳統(tǒng)企業(yè)中，普遍依賴IAM系統(tǒng)為身份認(rèn)證提供授權(quán)和憑證，并且會(huì)和企業(yè)的HR系統(tǒng)進(jìn)行關(guān)聯(lián)。然而，隨著業(yè)務(wù)上云、生態(tài)協(xié)作、多云混合等場(chǎng)景涌現(xiàn)，以及移動(dòng)互聯(lián)、IoT設(shè)備的普及，大量設(shè)備接入和上云讓企業(yè)身份信任邊界外延，傳統(tǒng)IAM方案已經(jīng)滿足不了現(xiàn)代企業(yè)數(shù)字化發(fā)展中的身份和訪問(wèn)治理需求。

隨著云應(yīng)用日益突出，云IDP（Identity Provider，身份提供商）系統(tǒng)開始出現(xiàn)，云應(yīng)用程序并不部署在企業(yè)內(nèi)部。因此，企業(yè)需要將傳統(tǒng)的本地IAM系統(tǒng)與新一代的云IDP（如Okta、Azure AD或Ping Identity）結(jié)合或協(xié)同運(yùn)行。

云計(jì)算的出現(xiàn)還引入了“云IAM”的新概念，用于預(yù)置和控制對(duì)云上資源、應(yīng)用程序和數(shù)據(jù)的訪問(wèn)和授權(quán)，并且會(huì)被部署在公共云生態(tài)系統(tǒng)中。云IAM和傳統(tǒng)IAM有很大的不同，因?yàn)樗饕轻槍?duì)“云身份（Cloud Identities）”進(jìn)行分類和檢查。首先了解下“云身份”的一些關(guān)鍵特點(diǎn)：

• 企業(yè)在云中運(yùn)行的所有應(yīng)用都需要有一個(gè)身份，可以訪問(wèn)關(guān)鍵的云服務(wù)、供應(yīng)鏈元素或數(shù)據(jù)。云服務(wù)提供商通過(guò)像云IAM這樣的關(guān)鍵服務(wù)控制這些身份的提供和訪問(wèn)；
• 在云中，每個(gè)訪問(wèn)請(qǐng)求在被授予訪問(wèn)權(quán)限之前都經(jīng)過(guò)身份驗(yàn)證和授權(quán)；
• 云身份可以是人類或非人類身份。人類身份主要是終端用戶、開發(fā)人員、DevOps和云管理員。非人類身份則是由附加到云服務(wù)、API、微服務(wù)、軟件供應(yīng)鏈、云數(shù)據(jù)平臺(tái)等的身份組成；
• 云的一個(gè)強(qiáng)大之處在于它的“可編程性”。開發(fā)人員通過(guò)編程方式組合云服務(wù)、API和數(shù)據(jù)來(lái)創(chuàng)建應(yīng)用程序，從而釋放出這種能力?，F(xiàn)代云應(yīng)用實(shí)際上是由API驅(qū)動(dòng)的許多分布式服務(wù)的集合，跨越提供商及其生態(tài)系統(tǒng)。當(dāng)開發(fā)人員結(jié)合云服務(wù)時(shí)，他們創(chuàng)建了具有訪問(wèn)數(shù)據(jù)路徑的自動(dòng)身份；
• 云的另一個(gè)特性是自動(dòng)化。云計(jì)算團(tuán)隊(duì)使用基礎(chǔ)設(shè)施即代碼的自動(dòng)化功能來(lái)輕松地啟動(dòng)和定義他們的云資源、云身份及其訪問(wèn)。在此過(guò)程中，一個(gè)原則是“自動(dòng)化第一，治理第二”。

影子訪問(wèn)的產(chǎn)生

云計(jì)算創(chuàng)造了一個(gè)“以身份為中心”的世界，圍繞它們的差異性導(dǎo)致了影子訪問(wèn)的根本原因。影子訪問(wèn)產(chǎn)生的根本原因不僅源于擁有云身份，還源于云驅(qū)動(dòng)的身份應(yīng)用復(fù)雜性和管理流程的變化。

從復(fù)雜性的角度來(lái)看，主要包括：

• 數(shù)據(jù)不再存儲(chǔ)在單個(gè)數(shù)據(jù)存儲(chǔ)中。云數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)共享應(yīng)用程序在云和SaaS環(huán)境中激增。
• 應(yīng)用程序并非單一的，而是由相互關(guān)聯(lián)的身份系統(tǒng)、云服務(wù)和數(shù)據(jù)組成的令人眼花繚亂的組合。
• 連接云生態(tài)系統(tǒng)的SaaS應(yīng)用程序的使用大幅增加。
• 每個(gè)云服務(wù)都有相關(guān)的權(quán)限和權(quán)利，為敏感數(shù)據(jù)和操作提供授權(quán)。
• 與傳統(tǒng)的本地環(huán)境相比，云環(huán)境的權(quán)限和授權(quán)規(guī)模更大，復(fù)雜程度也更高。
• 組織使用多云和公共/私有云環(huán)境的組合。

而流程變化主要體現(xiàn)在：

• 新的身份和訪問(wèn)通常由開發(fā)人員使用基礎(chǔ)設(shè)施即代碼集中創(chuàng)建。
• 新身份的配置文件通常是從一個(gè)模板中復(fù)制的。
• 自動(dòng)創(chuàng)建新的身份和訪問(wèn)，幾乎沒(méi)有任何治理措施。
• 身份訪問(wèn)的應(yīng)用程序不斷變化，沒(méi)有完整的訪問(wèn)審查。
• 為了提高速度，應(yīng)用程序組件經(jīng)常被重用、復(fù)制或用于多個(gè)應(yīng)用程序。
• 越來(lái)越多的SaaS和第三方應(yīng)用程序沒(méi)有正式的安全審查。
• 應(yīng)用程序訪問(wèn)的數(shù)據(jù)存儲(chǔ)在不斷變化。

由于云應(yīng)用程序是分布式且不斷發(fā)展的，因此一個(gè)元素的更改就可能會(huì)對(duì)整體暴露產(chǎn)生意想不到的后果。正是這種應(yīng)用程序的高度復(fù)雜和不斷發(fā)展的性質(zhì)，以及圍繞云身份創(chuàng)建和持續(xù)審查的流程中斷，導(dǎo)致了影子訪問(wèn)和其他相關(guān)威脅的大規(guī)模暴露。

影子訪問(wèn)的主要類型

影子訪問(wèn)存在多種類型，具體是由身份（即第三方、開發(fā)人員、過(guò)期賬戶、機(jī)器身份）與訪問(wèn)類型的組合創(chuàng)建的，例如休眠訪問(wèn)、鏈?zhǔn)皆L問(wèn)（或二次訪問(wèn)）、未經(jīng)授權(quán)的訪問(wèn)（通過(guò)惡意系統(tǒng)或IP）等。

• 不可見訪問(wèn)：在某些時(shí)候，云服務(wù)控制臺(tái)沒(méi)有顯示存儲(chǔ)桶的有效權(quán)限，導(dǎo)致存儲(chǔ)桶保持打開狀態(tài)；
• 意外/未授權(quán)訪問(wèn)：云應(yīng)用系統(tǒng)被惡意代碼植入，導(dǎo)致未授權(quán)的外部訪問(wèn)處于打開狀態(tài)；
• 過(guò)度訪問(wèn)：管理員在只需要訪問(wèn)特定數(shù)據(jù)存儲(chǔ)或云服務(wù)的情況下，提供具有完全訪問(wèn)權(quán)限的策略；
• 休眠訪問(wèn)：具有完全訪問(wèn)權(quán)限的策略在60天內(nèi)未使用，但仍可用于分配角色；
• 跨賬戶訪問(wèn)：對(duì)于很多已經(jīng)不再是客戶的老舊身份，仍然啟用了跨賬戶共享；
• 高風(fēng)險(xiǎn)訪問(wèn)：客戶危急情況允許開發(fā)人員訪問(wèn)資源，但在情況解決后沒(méi)有撤銷權(quán)限；
• 有毒組合（TOXIC COMBINATION）：通過(guò)應(yīng)用程序身份以及權(quán)限管理權(quán)限對(duì)數(shù)據(jù)存儲(chǔ)桶進(jìn)行編程訪問(wèn)；
• 未使用的數(shù)據(jù)：類似于休眠訪問(wèn)，指的是數(shù)據(jù)在一定時(shí)間內(nèi)沒(méi)有使用，但訪問(wèn)權(quán)限仍然是啟用狀態(tài)。

影子訪問(wèn)的危害

影子訪問(wèn)的存在會(huì)給企業(yè)造成很多災(zāi)難性后果，一個(gè)代表性的事例就是CircleCI漏洞。在此事件中，未經(jīng)授權(quán)的惡意行為者于2022年12月22日泄露了客戶信息，其中包括第三方系統(tǒng)的環(huán)境變量、密鑰和令牌。更糟糕的是，當(dāng)企業(yè)在進(jìn)行事件處置時(shí)，無(wú)法準(zhǔn)確掌握這些被盜的密鑰是否已被用來(lái)攻擊他們的云賬戶，因?yàn)镃ircleCI或當(dāng)前任何安全工具都無(wú)法滿足這個(gè)需求。

研究人員發(fā)現(xiàn)，現(xiàn)代企業(yè)中的很多部門或人員都受到了影子訪問(wèn)風(fēng)險(xiǎn)的影響，其危害具體包括：

• 現(xiàn)有安全治理工具無(wú)法識(shí)別大量的云身份和訪問(wèn)路徑。
• 影子訪問(wèn)導(dǎo)致的治理和可見性缺口使得IAM 防護(hù)很難實(shí)現(xiàn)。
• 那些無(wú)法識(shí)別的訪問(wèn)路徑讓更多漏洞被利用來(lái)破壞云數(shù)據(jù)。
• 威脅行為者可以將可編程訪問(wèn)武器化，造成遠(yuǎn)遠(yuǎn)超出數(shù)據(jù)泄露的傷害。
• 連接到云生態(tài)系統(tǒng)的第三方和SaaS應(yīng)用程序會(huì)帶來(lái)橫向移動(dòng)風(fēng)險(xiǎn)。
• 影子訪問(wèn)的存在造成了數(shù)據(jù)安全、審計(jì)和合規(guī)風(fēng)險(xiǎn)，并造成了政策和治理缺口。

影子訪問(wèn)的防護(hù)建議

為了有效應(yīng)對(duì)影子訪問(wèn)的產(chǎn)生及風(fēng)險(xiǎn)，企業(yè)必須重點(diǎn)解決以下三個(gè)關(guān)鍵問(wèn)題：

• 太多的警報(bào)和安全工具：很多企業(yè)使用了太多的身份認(rèn)證工具，這些工具會(huì)產(chǎn)生太多的安全警告，但是這根本無(wú)法防止云上的數(shù)據(jù)泄露和盜竊。
• 數(shù)據(jù)分散導(dǎo)致的可見性確實(shí)：當(dāng)前的安全工具缺乏對(duì)統(tǒng)一身份管理的全局可見性，因?yàn)檫@些數(shù)據(jù)分布在不同的工具中，包括云IAM、云IDP、基礎(chǔ)設(shè)施即代碼、數(shù)據(jù)存儲(chǔ)和HR系統(tǒng)。而訪問(wèn)管理措施也分散在票務(wù)系統(tǒng)、電子郵件、電子表格和屏幕截圖等各類應(yīng)用中。
• 手動(dòng)、靜態(tài)的管理流程：很多企業(yè)所部署的IAM系統(tǒng)，其治理和合規(guī)管理還是手動(dòng)的、靜態(tài)的，甚至還是在依靠電子表格、截圖和電子郵件來(lái)收集有關(guān)誰(shuí)有權(quán)訪問(wèn)哪些數(shù)據(jù)、誰(shuí)正在訪問(wèn)哪些數(shù)據(jù)以及訪問(wèn)方式的變化。

研究人員建議，企業(yè)應(yīng)該立即建立以下舉措來(lái)應(yīng)對(duì)：

• 建立“萬(wàn)物訪問(wèn)（all things access）”的單一事實(shí)來(lái)源，通知基于風(fēng)險(xiǎn)的訪問(wèn)控制，以保護(hù)數(shù)據(jù)和云的治理。
• 全面整合IAM系統(tǒng)的各類型數(shù)據(jù)，以獲得云IAM操作所需的跨身份、訪問(wèn)、數(shù)據(jù)狀態(tài)和治理的連接上下文。
• 實(shí)現(xiàn)自動(dòng)、準(zhǔn)確和及時(shí)地報(bào)告數(shù)據(jù)訪問(wèn)，簡(jiǎn)化云訪問(wèn)審計(jì)流程，并使治理形成閉環(huán)，以控制跨開發(fā)和生產(chǎn)環(huán)境的數(shù)據(jù)盜竊訪問(wèn)。

參考鏈接：

https://stackidentity.com/shadow-access-in-your-cloud/。

https://stackidentity.com/wp-content/uploads/2023/05/Stack_Identity_ShadowAccess_Ebook_Final.pdf。