如何处理云端特权用户管理?

日期:2016-12-20作者:Dave Shackleford翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】

很多企业正在试图保护员工使用的各种云应用和服务中的用户账户,这样做是因为:攻击者越来越多地通过钓鱼攻击和路过式下载等方式获取云账户和登录凭证,以试图获取对企业IT环境的访问权限。虽然企业已经非常注意保护用户账户,但一旦根级和管理级账户被泄露,企业可能面临非常严重的后果。

例如,考虑一下Code Spaces的情况,其亚马逊云计算服务(AWS)管理门户在2014年遭到攻击。在攻击者获得访问权限后,该公司的整个基础设施被暴露,这最终导致该公司倒闭。那么,企业应该如何保护与其环境相关的特权账户以及部署强大特权用户管理呢?

在大多数基础设施即服务(IaaS)云中,主要有几种形式的管理或根级访问。在默认情况下,IaaS环境要求创建用户账户作为初始管理员,该账户通常是通过用户名或电子邮件以及密码来进行身份验证。这个初始管理员可配置环境,并创建新用户和组。用户目录(例如微软的Active Directory)也可链接到云访问,从而基于内部角色向很多管理员提供云访问。很多IaaS系统镜像或模板还包含具有特权的默认用户账户。在AWS机器镜像中,此用户是“ec2-user”。

基本特权用户管理概念

首先,企业需要重新审视特权用户管理的核心概念,这包括职责分离和最低权限访问模型。很多云服务提供商包含内置身份和访问管理工具,允许为每个用户和组创建不同的政策。这允许安全团队帮助设计特权政策,让管理员只能执行其角色绝对需要的操作。

对于不支持细粒度角色和特权模型的云服务提供商,可通过使用身份即服务提供来实现,提供商可在内部凭证存储和云服务提供商环境之间传输身份信息,同时作为单点登录门户。

此外,企业应该对所有云环境的特权用户访问强制性使用多因素身份验证,这可能会阻止对Code Spaces控制台的初始攻击。很多提供商提供多种不同形式的多因素访问,包括终端上的证书、多因素提供商的硬和软令牌以及短信代码--这些代码不够安全,但仍然比什么都没有要强。

理想情况下,拥有管理器权限的用户将使用受批准的多因素方法来访问管理控制台,以及所有类型云环境中的敏感资产和服务。对于大多数企业,软令牌和证书被证明是特权用户管理中最可行和最安全的选择。

最后,控制管理和根级访问的关键方面是通过管理和监控密钥来执行。大多数管理员账号(特别是那些内置到默认系统镜像的账户,例如亚马逊的ec2-user)需要使用私钥进行访问。这些密钥通常在创建用户时生成,或者可独立生成,并且必须受到严格控制以防止对任何账户的非法访问,特别是管理员或根级用户。

作为特权用户管理的一部分,安全和运营团队应该确保密钥在内部以及云中受到安全保护,理想情况下,密钥应该放在硬件安全模块或者其他专用于控制加密密钥的高度安全平台中。当开发人员需要整合密钥到其部署管道时,应该利用工具来保护这些敏感信息,例如Ansible Vault或者Chef加密数据包。

为了确保这些特权账户不会被滥用,安全团队应该收集和监控云环境中可用的日志,以及使用AWS Cloudtrail等内置工具或者商业日志和事件监控工具及服务。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Dave Shackleford
Dave Shackleford

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。

用户自动配置>更多

相关推荐

技术手册>更多

  • 数据库安全

    随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域,但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。

  • 企业安全日志管理指南

    安全规范(Regulations)通常要求对日志数据进行收集、存储,而且还要求对这样大规模的数据进行审核、并作相应处理。过去,你的系统管理员可能经常通过分析日志文件来追踪一些设备上出现的问题,好让应急响应团队能及时发现可疑破坏或严重事故的关键所在。但是PCI、HIPPA、GLBA、SOX以及其它一些规范戏剧性地改变了这一惯例。现在,不管是财富500强企业,还是小型零售连锁店,还是当地的小医院,日志管理都已经变成一了项巨大的挑战。

  • 跨站脚本攻击防御

    跨站脚本攻击(cross-site scripting,XSS)是Web开发人员面对的严重安全问题。这种攻击允许恶意网站操作人员滥用Web用户对不相关的第三方网站的信任,在终端用户系统上执行任意脚本。XSS攻击发生时,恶意人士在其他用户的浏览器中运行恶意浏览器脚本。本专题将介绍跨站脚本攻击(XSS)以及如何进行防御。

  • NAC技巧与应用

    如今网络访问控制(NAC)技术正趋向成熟,然而由于NAC的范围过于广泛,用户面对各种各样的NAC产品总是会有很多顾虑。本技术手册从网络访问控制技术、网络访问控制的选择技巧、网络访问控制的实施技巧和网络访问控制的实际应用这四个方面对网络访问技术进行了介绍,希望能给大家一些帮助。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算