|
如何在云中實(shí)現(xiàn)最小權(quán)限
根據(jù)云計(jì)算權(quán)威組織云安全聯(lián)盟(CSA)對(duì)241位行業(yè)專家的最新調(diào)查,云計(jì)算資源配置錯(cuò)誤是導(dǎo)致組織數(shù)據(jù)泄露的主要原因。
那么造成這種風(fēng)險(xiǎn)的主要原因是什么?由于數(shù)據(jù)規(guī)模巨大����,因此在云中管理身份及其權(quán)限極具挑戰(zhàn)性���。它不僅僅是人們的用戶身份����,還包括設(shè)備���、應(yīng)用程序和服務(wù)����。由于這種復(fù)雜性�����,許多組織都會(huì)出錯(cuò)��。隨著時(shí)間的推移�,這個(gè)問(wèn)題變得越來(lái)越嚴(yán)重,因?yàn)楹芏嘟M織在沒有建立有效分配和管理權(quán)限的能力的情況下擴(kuò)展了他們的云計(jì)算規(guī)模��。因此,用戶和應(yīng)用程序往往會(huì)積累遠(yuǎn)遠(yuǎn)超出技術(shù)和業(yè)務(wù)要求的權(quán)限��,從而造成較大的權(quán)限差距���。
例如���,美國(guó)國(guó)防部的一個(gè)軍事數(shù)據(jù)庫(kù)于2017年對(duì)外泄露,這個(gè)數(shù)據(jù)庫(kù)是美國(guó)中央司令部(CENTCOM)和太平洋司令部(PACOM)從社交媒體��、新聞網(wǎng)站�����、論壇和其他公開網(wǎng)站上搜集的18億條以上互聯(lián)網(wǎng)帖子�����,而美國(guó)國(guó)防部這兩個(gè)統(tǒng)一作戰(zhàn)司令部負(fù)責(zé)美國(guó)在中東地區(qū)���、亞洲和南太平洋地區(qū)的軍事行動(dòng)���,它配置了三個(gè)AWS S3云存儲(chǔ)桶,允許任何經(jīng)過(guò)AWS全球認(rèn)證的用戶瀏覽和下載內(nèi)容,而這種類型的AWS帳戶可以通過(guò)免費(fèi)注冊(cè)獲得�。
關(guān)注權(quán)限
為了減輕與濫用云中身份有關(guān)的風(fēng)險(xiǎn),組織正在嘗試實(shí)施最小特權(quán)原則���。在理想情況下�����,應(yīng)將每個(gè)用戶或應(yīng)用程序限制為所需的確切權(quán)限。
從理論上講�,這個(gè)過(guò)程應(yīng)該很簡(jiǎn)單。第一步是了解已為給定用戶或應(yīng)用程序分配了哪些權(quán)限���。接下來(lái)��,應(yīng)該對(duì)實(shí)際使用的那些權(quán)限進(jìn)行清點(diǎn)��。兩者的比較揭示了權(quán)限差距�����,即應(yīng)保留哪些權(quán)限以及應(yīng)修改或刪除哪些權(quán)限����。
這可以通過(guò)幾種方式來(lái)完成。認(rèn)為過(guò)多的權(quán)限可以刪除或監(jiān)視并發(fā)出警報(bào)���。通過(guò)不斷地重新檢查環(huán)境并刪除未使用的權(quán)限���,組織可以隨著時(shí)間的推移在云中獲得最少的特權(quán)。
但是����,在復(fù)雜的云計(jì)算環(huán)境中確定每個(gè)應(yīng)用程序所需的精確權(quán)限所需的工作可能既費(fèi)力又昂貴。
了解身份和訪問(wèn)管理(IAM)控件
以全球最流行的AWS云平臺(tái)為例�,該平臺(tái)提供了可用的最精細(xì)身份和訪問(wèn)管理(IAM)系統(tǒng)之一。AWS IAM是一個(gè)功能強(qiáng)大的工具����,使管理員可以安全地配置對(duì)AWS云計(jì)算資源的訪問(wèn)。身份和訪問(wèn)管理(IAM)控件擁有2���,500多個(gè)權(quán)限(并且還在不斷增加)�,它使用戶可以對(duì)在AWS云平臺(tái)中的給定資源上執(zhí)行哪些操作進(jìn)行細(xì)粒度控制�����。
毫不奇怪���,這種控制程度為開發(fā)人員和DevOps團(tuán)隊(duì)帶來(lái)了相同(可能有人說(shuō)更高)的復(fù)雜程度���。
在AWS云平臺(tái)中���,其角色作為機(jī)器身份。需要授予特定于應(yīng)用程序的權(quán)限�����,并將訪問(wèn)策略附加到相關(guān)角色���。這些可以是由云計(jì)算服務(wù)提供商(CSP)創(chuàng)建的托管策略,也可以是由AWS云平臺(tái)客戶創(chuàng)建的內(nèi)聯(lián)策略�����。
擔(dān)任角色
可以被分配多個(gè)訪問(wèn)策略或?yàn)槎鄠€(gè)應(yīng)用程序服務(wù)的角色���,使“最小權(quán)限”的旅程更具挑戰(zhàn)性��。
以下有幾種情況說(shuō)明了這一點(diǎn)�。
(1)單個(gè)應(yīng)用程序–單一角色:應(yīng)用程序使用具有不同托管和內(nèi)聯(lián)策略的角色����,授予訪問(wèn)Amazon ElastiCache���、RDS、DynamoDB和S3服務(wù)的特權(quán)��。如何知道實(shí)際使用了哪些權(quán)限?一旦完成����,如何正確確定角色的大小?是否用內(nèi)聯(lián)策略替換托管策略?是否編輯現(xiàn)有的內(nèi)聯(lián)策略?是否制定自己的新政策?
(2)兩個(gè)應(yīng)用程序–單一角色:兩個(gè)不同的應(yīng)用程序共享同一角色。假設(shè)這個(gè)角色具有對(duì)Amazon ElastiCache��、RDS��、DynamoDB和S3服務(wù)的訪問(wèn)權(quán)限�����。但是�����,當(dāng)?shù)谝粋€(gè)應(yīng)用程序使用RDS和ElastiCache服務(wù)時(shí)�,第二個(gè)應(yīng)用程序使用ElastiCache、DynamoDB和S3����。因此�,要獲得最小權(quán)限�,正確的操作將是角色拆分,而不是簡(jiǎn)單地調(diào)整角色大小���。在這種情況下���,作為第二步,將在角色拆分之后進(jìn)行角色權(quán)限調(diào)整���。
(3)當(dāng)應(yīng)用程序使用的角色沒有任何敏感權(quán)限��,但該角色具有承擔(dān)其他更高特權(quán)角色的權(quán)限時(shí)�,就會(huì)發(fā)生角色鏈接��。如果權(quán)限更高的角色有權(quán)訪問(wèn)Amazon ElastiCache��、RDS����、DynamoDB和S3等各種服務(wù)�����,那么如何知道原始應(yīng)用程序?qū)嶋H上正在使用哪些服務(wù)?以及如何在不中斷其他可能同時(shí)使用第二個(gè)更高權(quán)限角色的應(yīng)用程序的情況下限制應(yīng)用程序的權(quán)限?
一種稱為Access Advisor的AWS工具允許管理員調(diào)查給定角色訪問(wèn)的服務(wù)列表,并驗(yàn)證其使用方式�。但是,只依靠Access Advisor并不能解決訪問(wèn)權(quán)限與解決許多策略決策所需的各個(gè)資源之間的問(wèn)題���。為此���,有必要深入了解CloudTrail日志以及計(jì)算管理基礎(chǔ)設(shè)施。
云中的最小權(quán)限
最后需要記住�,只涉及原生AWS IAM訪問(wèn)控制。將訪問(wèn)權(quán)限映射到資源時(shí)�����,還需要考慮幾個(gè)其他問(wèn)題����,其中包括間接訪問(wèn)或應(yīng)用程序級(jí)別的訪問(wèn)。
正如人們所看到的�����,對(duì)于許多組織而言��,在云中強(qiáng)制實(shí)施最小權(quán)限以最小化導(dǎo)致數(shù)據(jù)泄露或服務(wù)中斷的訪問(wèn)風(fēng)險(xiǎn)可能是不可行的。通過(guò)使用軟件來(lái)自動(dòng)化監(jiān)視�、評(píng)估和對(duì)所有身份(用戶、設(shè)備��、應(yīng)用程序等)的訪問(wèn)權(quán)限進(jìn)行調(diào)整正確大小的新技術(shù)正在彌合這種治理鴻溝�,以消除風(fēng)險(xiǎn)。
|
