在云中確保身份和數(shù)據(jù)的安全對(duì)于很多組織來(lái)說(shuō)是一種挑戰(zhàn)，但是最低權(quán)限的訪(fǎng)問(wèn)方法會(huì)有所幫助。

根據(jù)云計(jì)算安全聯(lián)盟(CSA)最近發(fā)布的一份調(diào)查報(bào)告，在云計(jì)算面臨的11種最大威脅中，配置錯(cuò)誤和變更控制不足排在第二位，僅次于數(shù)據(jù)泄露。

Capital One公司的數(shù)據(jù)泄漏事件就是一個(gè)很好的例子，該事件導(dǎo)致該公司1.06億張信用卡客戶(hù)和申請(qǐng)人的數(shù)據(jù)泄露。網(wǎng)絡(luò)攻擊者利用了開(kāi)放源Web應(yīng)用程序防火墻(WAF)中的一個(gè)漏洞，該漏洞被用作銀行基于AWS云平臺(tái)操作的一部分。

通過(guò)這個(gè)漏洞，網(wǎng)絡(luò)攻擊者可以獲取憑據(jù)以訪(fǎng)問(wèn)Web應(yīng)用程序防火墻(WAF)以訪(fǎng)問(wèn)所有資源。不幸的是，Web應(yīng)用程序防火墻(WAF)被賦予了過(guò)多的權(quán)限，也就是說(shuō)，網(wǎng)絡(luò)攻擊者可以訪(fǎng)問(wèn)任何數(shù)據(jù)桶中的所有文件，并讀取這些文件的內(nèi)容。這使得網(wǎng)絡(luò)攻擊者能夠訪(fǎng)問(wèn)存儲(chǔ)敏感數(shù)據(jù)的S3存儲(chǔ)桶。

減輕這種身份濫用的最有效方法是執(zhí)行最低特權(quán)原則。在理想情況下，每個(gè)用戶(hù)或應(yīng)用程序應(yīng)僅限于所需的確切權(quán)限。

實(shí)施最低特權(quán)的第一步是了解已授予用戶(hù)(無(wú)論是人員還是機(jī)器)或應(yīng)用程序哪些權(quán)限。下一步是映射所有實(shí)際使用的權(quán)限。兩者之間的比較揭示了權(quán)限差距，從而暴露了應(yīng)保留的權(quán)限和應(yīng)撤銷(xiāo)的權(quán)限。因此必須定期連續(xù)執(zhí)行這一過(guò)程，以保持一段時(shí)間內(nèi)的最小特權(quán)。

為了說(shuō)明這個(gè)過(guò)程如何在云平臺(tái)中工作，以主流的AWS云平臺(tái)為例，并且提供可用的細(xì)粒度身份和訪(fǎng)問(wèn)管理(IAM)系統(tǒng)之一。AWS身份和訪(fǎng)問(wèn)管理(IAM)是一個(gè)功能強(qiáng)大的工具，它允許管理員安全地配置超過(guò)2500個(gè)權(quán)限，以實(shí)現(xiàn)對(duì)給定資源可以執(zhí)行哪些操作的細(xì)粒度進(jìn)行控制。

步驟1：檢查附加政策

第一步是檢查直接附加到用戶(hù)的策略。有兩種類(lèi)型的策略：

•托管策略有兩種類(lèi)型：由云計(jì)算服務(wù)提供商(CSP)創(chuàng)建和管理的AWS托管策略，以及(組織可以在其AWS帳戶(hù)中創(chuàng)建和管理的客戶(hù)托管策略。與AWS托管策略相比，客戶(hù)托管策略通常提供更精確的控制。

•內(nèi)聯(lián)策略，由AWS客戶(hù)創(chuàng)建并嵌入在身份和訪(fǎng)問(wèn)管理(IAM)標(biāo)識(shí)(用戶(hù)、組或角色)中。當(dāng)最初創(chuàng)建或稍后添加身份時(shí)，可以將它們嵌入標(biāo)識(shí)中。

步驟2：分析身份和訪(fǎng)問(wèn)管理(IAM)組

下一步是檢查用戶(hù)所屬的每個(gè)身份和訪(fǎng)問(wèn)管理(IAM)組。這些還具有附加策略，可以間接授予用戶(hù)訪(fǎng)問(wèn)其他資源的權(quán)限。就像用戶(hù)本身一樣，組可以附加到托管策略和內(nèi)聯(lián)策略。

步驟3：映射身份和訪(fǎng)問(wèn)管理(IAM)角色

現(xiàn)在，所有附加到用戶(hù)的身份和訪(fǎng)問(wèn)管理(IAM)角色都需要映射。角色是另一種類(lèi)型的標(biāo)識(shí)，可以使用授予特定權(quán)限的關(guān)聯(lián)策略在組織的AWS帳戶(hù)中創(chuàng)建。它類(lèi)似于身份和訪(fǎng)問(wèn)管理(IAM)用戶(hù)，但其角色可以分配給需要其權(quán)限的任何人，而不是與某個(gè)人唯一關(guān)聯(lián)。角色通常用于授予應(yīng)用程序訪(fǎng)問(wèn)權(quán)限。

步驟4：調(diào)查基于資源的策略

接下來(lái)，這一步驟的重點(diǎn)從用戶(hù)策略轉(zhuǎn)移到附加到資源(例如AWS存儲(chǔ)桶)的策略。這些策略可以授予用戶(hù)直接對(duì)存儲(chǔ)桶執(zhí)行操作的權(quán)限，而與現(xiàn)有的其他策略(直接和間接)無(wú)關(guān)。對(duì)所有AWS資源及其策略(尤其是包含敏感數(shù)據(jù)的策略)進(jìn)行全面審查非常重要。

步驟5：分析訪(fǎng)問(wèn)控制列表

在策略審查完成之后，分析應(yīng)該移至鏈接到每個(gè)資源的訪(fǎng)問(wèn)控制列表(ACL)。這些類(lèi)似于基于資源的策略，并允許控制其他帳戶(hù)中的哪些身份可以訪(fǎng)問(wèn)該資源。由于不能使用訪(fǎng)問(wèn)控制列表(ACL)來(lái)控制同一帳戶(hù)中身份的訪(fǎng)問(wèn)，因此可以跳過(guò)與該用戶(hù)相同帳戶(hù)中擁有的所有資源。

步驟6：查看權(quán)限邊界

在這一步驟中，需要檢查每個(gè)用戶(hù)的權(quán)限邊界。這是一項(xiàng)高級(jí)功能，用于定義用戶(hù)、組或角色可能具有的最大權(quán)限。換句話(huà)說(shuō)，用戶(hù)的權(quán)限邊界基于附加的策略和權(quán)限邊界定義了允許他們執(zhí)行的動(dòng)作。重要的是要注意權(quán)限邊界不會(huì)以相同的方式影響每個(gè)策略。例如，基于資源的策略不受權(quán)限邊界的限制，這些策略中的任何一個(gè)明確拒絕都將覆蓋允許。

步驟7：檢查服務(wù)控制策略

最后，有必要檢查服務(wù)控制策略(SCP)。從概念上講，這些權(quán)限類(lèi)似于在AWS賬戶(hù)中所有身份(即用戶(hù)、組和角色)上定義的權(quán)限邊界。服務(wù)控制策略(SCP)在AWS組織級(jí)別定義，并且可以應(yīng)用于特定帳戶(hù)。

強(qiáng)制最小權(quán)限訪(fǎng)問(wèn)

正如人們所看到的，在云中保護(hù)身份和數(shù)據(jù)是一項(xiàng)挑戰(zhàn)，隨著組織擴(kuò)展其云計(jì)算足跡而變得越來(lái)越復(fù)雜。在許多情況下，用戶(hù)和應(yīng)用程序往往會(huì)積累遠(yuǎn)遠(yuǎn)超出其技術(shù)和業(yè)務(wù)要求的權(quán)限，這會(huì)導(dǎo)致權(quán)限差距。

通常，在像AWS云平臺(tái)這樣的復(fù)雜環(huán)境中，確定每個(gè)用戶(hù)或應(yīng)用程序所需的精確權(quán)限所需的工作成本高昂，而且無(wú)法擴(kuò)展。即使是諸如了解授予單個(gè)用戶(hù)的權(quán)限之類(lèi)的簡(jiǎn)單任務(wù)也可能非常困難。

為了使其中一些流程實(shí)現(xiàn)自動(dòng)化， AWS公司幾年前發(fā)布了一個(gè)名為Policy Simulator的工具，該工具使管理員可以選擇任何AWS實(shí)體(即IAM用戶(hù)、組或角色)和服務(wù)類(lèi)型(例如關(guān)系型數(shù)據(jù)庫(kù)服務(wù)或S3存儲(chǔ)桶)，并自動(dòng)評(píng)估特定服務(wù)的用戶(hù)權(quán)限。

盡管Policy Simulator是一個(gè)很棒的工具，但并不十分成熟。例如，Policy Simulator不會(huì)檢查用戶(hù)可能承擔(dān)的所有角色及其策略(步驟3)。它還不考慮訪(fǎng)問(wèn)控制列表(ACL)(步驟5)或權(quán)限邊界(步驟6)。在大多數(shù)情況下，組織被迫執(zhí)行人工策略管理或編寫(xiě)專(zhuān)有腳本。

如人們所見(jiàn)，在云計(jì)算環(huán)境中管理身份和訪(fǎng)問(wèn)以實(shí)施最低特權(quán)策略非常復(fù)雜，需要大量人工工作，并且成本高昂。由于這門(mén)學(xué)科還處于起步階段，因此缺少云平臺(tái)提供商提供的可靠的原生工具。在通常情況下，第三方解決方案正在填補(bǔ)市場(chǎng)空白。

來(lái)源;企業(yè)網(wǎng)D1Net | 企業(yè)網(wǎng)D1Net

圖片來(lái)源：找項(xiàng)目網(wǎng)