毛茸茸的性爱视频_日本强伦片中文字幕免费看_亚洲最大男人的天堂_亚洲国产成人第一天堂_免费观看男女性av_日本欧美一区二区三区高清_小南特制乳液图片_久久免费看少妇一特黄_国产欧美日韩色图_国产清纯白嫩初高中在线网站

云原生賬號(hào)安全管理

一、業(yè)務(wù)需求 在公有云建設(shè)早期，賬號(hào)安全管理主要是依賴(lài)云自身的管理。等到公有云建設(shè)中期的時(shí)候，公有云可以通過(guò)云產(chǎn)品基線對(duì)賬號(hào)系統(tǒng)進(jìn)行檢查，例如：云主賬號(hào)開(kāi)啟雙因素認(rèn)證，密碼策略輪換，監(jiān)控AK泄露等安全相關(guān)的基線來(lái)完成監(jiān)督。主機(jī)層面會(huì)使用主機(jī)安全基線做賬號(hào)以及密碼相關(guān)的檢查。但是，我們會(huì)發(fā)現(xiàn)云端管理好用戶(hù)特權(quán)賬號(hào)，只是賬號(hào)安全管理生命中的一小部分，很多特權(quán)賬號(hào)散落在用戶(hù)登錄云管端的筆記本電腦中，很多開(kāi)發(fā)期間的應(yīng)用程序連接賬號(hào)密碼都硬編碼到了配置文件等地方…，特權(quán)賬號(hào)使用靜態(tài)密碼，對(duì)賬號(hào)缺乏有效的管理、監(jiān)控、企業(yè)很容易遭受攻擊，同時(shí)很多合規(guī)檢查也要求對(duì)企業(yè)特權(quán)賬號(hào)要監(jiān)督。無(wú)法可視化管理，很難知道有多少賬號(hào)資產(chǎn)以及誰(shuí)在使用。 很難保障特權(quán)密碼的安全性。 無(wú)法看到誰(shuí)在用那個(gè)賬號(hào)做什么，沒(méi)法控制特權(quán)賬號(hào)的權(quán)限。二、云原始賬號(hào)管理解決方案 首先要自動(dòng)掃描、定位所有賬號(hào)，對(duì)賬號(hào)管理有一個(gè)全面的了解。使用密碼保管庫(kù)統(tǒng)一管理賬號(hào)，同時(shí)通過(guò)代理登陸的方式對(duì)賬號(hào)操作進(jìn)行記錄，最終分析出賬號(hào)異常使用情況。 我們先假定一個(gè)用戶(hù)場(chǎng)景，大約有200臺(tái)云主機(jī)、100臺(tái)docker，管理這些特權(quán)帳戶(hù)的安全是一項(xiàng)復(fù)雜的工作，跟蹤所有的變更，確保每臺(tái)服務(wù)器ssh key 部署是經(jīng)過(guò)審批的，并記錄下來(lái)以便進(jìn)行長(zhǎng)期分析和審計(jì)。 1. 賬號(hào)掃描引擎需要在云主機(jī)本地部署主機(jī)安全Agent全盤(pán)收集用戶(hù)賬號(hào)信息，以及散落在角落中的ssh key等信息，(依賴(lài)關(guān)系，創(chuàng)建日期)。 掃描應(yīng)用系統(tǒng)，查看是否存在應(yīng)用程序腳本、配置文件和軟件代碼中的硬編碼憑證。 通過(guò)客戶(hù)端登陸程序掃描登陸云主機(jī)的終端是否存在業(yè)務(wù)系統(tǒng)的key或者賬號(hào)密碼。2. 企業(yè)級(jí)密碼保管庫(kù) (1) 通過(guò)web控制臺(tái)，管理員可以通過(guò)REST API 設(shè)置建立初始化賬號(hào)策略(例如：設(shè)置策略以建立憑證強(qiáng)度以及輪換頻率、共享賬號(hào)策略)。 (2) 通過(guò)賬號(hào)代理程序，細(xì)粒度的控制特權(quán)訪問(wèn)，存儲(chǔ)訪問(wèn)記錄。 (3) 提供賬號(hào)使用合規(guī)報(bào)告。賬號(hào)最小權(quán)限分析報(bào)告。 賬號(hào)使用范圍可視化報(bào)告。 賬號(hào)審計(jì)報(bào)告。3. 賬號(hào)威脅分析分析引擎對(duì)用戶(hù)、實(shí)體和網(wǎng)絡(luò)流量運(yùn)行多種復(fù)雜的專(zhuān)用算法(包括確定性算法和基于行為的算法)，針對(duì)攻擊者會(huì)假冒成授權(quán)內(nèi)部用戶(hù)，實(shí)時(shí)發(fā)現(xiàn)攻擊并自動(dòng)做出響應(yīng)，以便在整個(gè)攻擊生命周期的早期發(fā)現(xiàn)攻擊跡象。通過(guò)盡早發(fā)現(xiàn)攻擊，安全團(tuán)隊(duì)就有了更多寶貴時(shí)間來(lái)在造成業(yè)務(wù)中斷之前終止攻擊。 與SIEM解決方案的雙向集成**使安全團(tuán)隊(duì)可以利用現(xiàn)有的SIEM部署來(lái)匯總數(shù)據(jù)，進(jìn)行有針對(duì)性的分析，并發(fā)出預(yù)警來(lái)為涉及特權(quán)賬戶(hù)的事件分配優(yōu)先級(jí)。三、系統(tǒng)架構(gòu)簡(jiǎn)述：本解決方案支持公有云云主機(jī)、云物理機(jī)、IDC托管物理服務(wù)器，應(yīng)對(duì)用戶(hù)多云部署的情況。 針對(duì)企業(yè)級(jí)秘鑰管理庫(kù)，我們?yōu)槊總€(gè)租戶(hù)開(kāi)啟一臺(tái)虛擬的云加密托管服務(wù)，確保公有云運(yùn)營(yíng)方對(duì)用戶(hù)的憑證濫用的情況。(1) 秘鑰安全性保障虛擬云加密機(jī)初始化是由公有云給租戶(hù)郵寄USB key 用戶(hù)在自己的VPC環(huán)境中架設(shè)VPNServer，通過(guò)VPN連接租戶(hù)VPC環(huán)境中。 在公有云平臺(tái)上開(kāi)通虛擬云加密機(jī)服務(wù)，云加密物理機(jī)通過(guò)公有云網(wǎng)絡(luò)中peer方式映射到租戶(hù)VPC環(huán)境中，使用USBkey進(jìn)行初始化。(2) 秘鑰生命周期管理登陸秘鑰管理控制臺(tái)，用戶(hù)申請(qǐng)ssh key，以及要登陸的云主機(jī)或者物理機(jī)。經(jīng)過(guò)審批后，主機(jī)安全Agent會(huì)分發(fā)SSH key到云主機(jī)或者物理機(jī)上。 使用過(guò)程中，安全Agent會(huì)掃描、監(jiān)控、審計(jì)整個(gè)過(guò)程。 當(dāng)秘鑰需要銷(xiāo)毀的時(shí)候，到秘鑰管理控制臺(tái)申請(qǐng)，審批后，主機(jī)安全Agent會(huì)刪除對(duì)應(yīng)主機(jī)上的SSH key。(3) 安全威脅分析通過(guò)主機(jī)安全Agent來(lái)進(jìn)行SSH key掃描，可以分析出當(dāng)前租戶(hù)環(huán)境中的SSHkey散落情況并且給出合規(guī)報(bào)告。 通過(guò)主機(jī)安全Agent記錄登陸情況，賬號(hào)審計(jì)數(shù)據(jù)上傳到態(tài)勢(shì)感知安全運(yùn)營(yíng)平臺(tái)，通過(guò)UEBA模塊做大數(shù)據(jù)分析。給出響應(yīng)的安全告警四、總結(jié) 本文介紹了云原生賬號(hào)安全管理項(xiàng)目，希望在實(shí)際安全運(yùn)營(yíng)過(guò)程中有所幫助。