信息化觀察網(wǎng)

云端自動化的廣泛采用，意味著系統(tǒng)ID數(shù)量的增長速度是人類用戶的兩倍。因為，在多云環(huán)境下，越權(quán)（over-privileged）的系統(tǒng)ID可以更快、更高效地執(zhí)行從運行腳本到修補漏洞的各項任務(wù)，而且其犯的錯誤比人類用戶少。雖然系統(tǒng)ID可以快速無誤地完成任務(wù)并提高生產(chǎn)力，但這種跨不同云應(yīng)用程序的廣泛使用，使組織很難獲得對系統(tǒng)ID的可見性，及強制執(zhí)行最低權(quán)限訪問。這就是為什么跨云管控系統(tǒng)ID和實施機密管理至關(guān)重要的原因，不這么做會加大組織的攻擊面，并危及業(yè)務(wù)運營。

系統(tǒng)ID數(shù)量的激增，需要安全團隊加強監(jiān)管工作，因為了解使用哪些權(quán)限、使用多頻繁以及在什么情況下使用至關(guān)重要。如果組織打算充分享用跨云自動化的好處，就必須成功地管理身份和訪問。這在CloudOps團隊中尤其如此，他們的工作是迅速地構(gòu)建和交付產(chǎn)品，云構(gòu)建團隊為了不阻礙開發(fā)效率，會為新任務(wù)（比如應(yīng)用程序動態(tài)測試）創(chuàng)建新的系統(tǒng)ID，這可能妨礙管理的可見性和用戶責(zé)任制。很多時候，組織往往意識不到到云端系統(tǒng)ID方面的嚴(yán)重風(fēng)險。如果組織中普遍存在系統(tǒng)ID訪問權(quán)限過大且不受管理的情況，就會加大其攻擊面和風(fēng)險。一旦攻擊者劫持了權(quán)限過大的身份，就可以橫向移動，進而訪問整個環(huán)境。

例如，早在上世紀(jì)90年代后期，工程師就在Linux上使用服務(wù)ID來運行cron job（計劃任務(wù)），這需要運行腳本和更新報告之類的批處理任務(wù)。直到今天，人類仍依靠系統(tǒng)完成這些類型的任務(wù)。問題在于，在現(xiàn)代多云環(huán)境下，管理完成這些工作的系統(tǒng)要復(fù)雜得多——組織使用眾多平臺的數(shù)千個系統(tǒng)ID，使其缺乏可見性和控制度，安全團隊可能不知道哪些ID執(zhí)行哪些工作，因為它們是由云構(gòu)建者設(shè)置的，這就大大增加了攻擊者的攻擊面。

從行為的角度來看，預(yù)測與系統(tǒng)ID相關(guān)的活動可能很困難。畢竟，系統(tǒng)偶爾會出現(xiàn)隨機行為，完成超出通常職責(zé)范圍的任務(wù)。但是當(dāng)安全負(fù)責(zé)人試圖審核ID用戶權(quán)限時，他們會發(fā)現(xiàn)一長串費解的可能沒必要的ID。這導(dǎo)致危險的停滯狀態(tài)。如果組織中有太多權(quán)限訪問數(shù)量不明的系統(tǒng)ID在人為干預(yù)之外運行，會導(dǎo)致威脅加大。組織應(yīng)設(shè)法獲得跨所有云平臺（IaaS、DaaS、PaaS和SaaS）的可見性，并控制系統(tǒng)ID的特權(quán)訪問。

理想情況下，這種管控來自單一的管理平臺，授予和撤銷權(quán)限就像點擊按鈕一樣簡單。至于系統(tǒng)ID的權(quán)限，安全團隊?wèi)?yīng)該像對待人一樣對待系統(tǒng)ID，采用零常設(shè)權(quán)限（ZSP）政策——ZSP是多云安全的基準(zhǔn)。這意味著摒棄靜態(tài)權(quán)限或機密、撤銷越權(quán)帳戶，以及消除過時或不必要的帳戶。這聽起來像是復(fù)雜而艱巨的任務(wù)，卻是保護云環(huán)境的必要步驟。幸好，現(xiàn)在有幾種解決方案可以幫助組織獲得可見性、實施控制以及不中斷業(yè)務(wù)運營。

降低多云環(huán)境下越權(quán)系統(tǒng)ID風(fēng)險的五種手段

1.對所有用戶（人類和非人類）使用即時（JIT）權(quán)限訪問

無論在會話或任務(wù)持續(xù)期間、或是指定的時間段內(nèi)，還是用戶手動重新核查配置文件，都需要對所有用戶（用戶和機器ID）使用即時（JIT）權(quán)限訪問，一旦任務(wù)完成，這些權(quán)限就被自動撤銷。

2.保持零常設(shè)權(quán)限

動態(tài)添加和刪除權(quán)限，使企業(yè)CloudOps團隊能夠保持零常設(shè)權(quán)限（ZSP）安全態(tài)勢。它適用于零信任概念，意味著在默認(rèn)情況下，沒有任何人或設(shè)備可以一直訪問企業(yè)的云帳戶和數(shù)據(jù)。

3.集中和擴展權(quán)限管理

使用靜態(tài)身份時，盡量減少散亂現(xiàn)象是一大挑戰(zhàn)，如今許多CloudOps團隊在努力使用Excel電子表格來手動管理ID和權(quán)限。集中式配置可以跨所有云資源自動執(zhí)行這個過程，從而大大降低出錯、及帳戶和數(shù)據(jù)面臨更大風(fēng)險的可能性。

4.借助高級數(shù)據(jù)分析（ADA）獲得統(tǒng)一的訪問可見性

ADA使團隊能夠從單一管理平臺跨所有平臺監(jiān)控整個環(huán)境，這項功能可識別每個組織特定的權(quán)限訪問問題，并讓負(fù)責(zé)管理數(shù)千個用戶ID的安全團隊能夠做到心中有數(shù)。

5.將機密管理引入到CI/CD流程中

可以實時授予和撤銷JIT機密，這在CloudOps需要啟動臨時服務(wù)時很理想，它自動執(zhí)行通過策略來調(diào)用的共享機密輪換機制，并保護和簡化入職和離職流程。

有限的可見性阻礙了安全團隊，并加劇了原本很復(fù)雜的情形。擁有越權(quán)訪問的系統(tǒng)ID過多，意味著組織在保護多云環(huán)境時面臨重大挑戰(zhàn)。但是如果能定義誰在什么權(quán)限下使用特權(quán)帳戶、撤銷不必要的訪問，以及運用即時權(quán)限訪問，組織就可以保護多云環(huán)境，并放心地部署自動化流程。

沒人知道如今在云端到底使用了多少系統(tǒng)ID，我們只知道這個數(shù)字在迅速增加。雖然這種增加表明了業(yè)務(wù)運營有所改善，但也表明了需要動態(tài)可靠的安全解決方案。多云環(huán)境下工作的團隊?wèi)?yīng)與能夠跨云環(huán)境確保安全，又不干擾運營的安全合作伙伴合作。這對于確保關(guān)鍵基礎(chǔ)設(shè)施的安全性和功能性至關(guān)重要。