如何处理云端特权用户管理?

日期:2016-12-20作者:Dave Shackleford翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】

很多企业正在试图保护员工使用的各种云应用和服务中的用户账户,这样做是因为:攻击者越来越多地通过钓鱼攻击和路过式下载等方式获取云账户和登录凭证,以试图获取对企业IT环境的访问权限。虽然企业已经非常注意保护用户账户,但一旦根级和管理级账户被泄露,企业可能面临非常严重的后果。

例如,考虑一下Code Spaces的情况,其亚马逊云计算服务(AWS)管理门户在2014年遭到攻击。在攻击者获得访问权限后,该公司的整个基础设施被暴露,这最终导致该公司倒闭。那么,企业应该如何保护与其环境相关的特权账户以及部署强大特权用户管理呢?

在大多数基础设施即服务(IaaS)云中,主要有几种形式的管理或根级访问。在默认情况下,IaaS环境要求创建用户账户作为初始管理员,该账户通常是通过用户名或电子邮件以及密码来进行身份验证。这个初始管理员可配置环境,并创建新用户和组。用户目录(例如微软的Active Directory)也可链接到云访问,从而基于内部角色向很多管理员提供云访问。很多IaaS系统镜像或模板还包含具有特权的默认用户账户。在AWS机器镜像中,此用户是“ec2-user”。

基本特权用户管理概念

首先,企业需要重新审视特权用户管理的核心概念,这包括职责分离和最低权限访问模型。很多云服务提供商包含内置身份和访问管理工具,允许为每个用户和组创建不同的政策。这允许安全团队帮助设计特权政策,让管理员只能执行其角色绝对需要的操作。

对于不支持细粒度角色和特权模型的云服务提供商,可通过使用身份即服务提供来实现,提供商可在内部凭证存储和云服务提供商环境之间传输身份信息,同时作为单点登录门户。

此外,企业应该对所有云环境的特权用户访问强制性使用多因素身份验证,这可能会阻止对Code Spaces控制台的初始攻击。很多提供商提供多种不同形式的多因素访问,包括终端上的证书、多因素提供商的硬和软令牌以及短信代码--这些代码不够安全,但仍然比什么都没有要强。

理想情况下,拥有管理器权限的用户将使用受批准的多因素方法来访问管理控制台,以及所有类型云环境中的敏感资产和服务。对于大多数企业,软令牌和证书被证明是特权用户管理中最可行和最安全的选择。

最后,控制管理和根级访问的关键方面是通过管理和监控密钥来执行。大多数管理员账号(特别是那些内置到默认系统镜像的账户,例如亚马逊的ec2-user)需要使用私钥进行访问。这些密钥通常在创建用户时生成,或者可独立生成,并且必须受到严格控制以防止对任何账户的非法访问,特别是管理员或根级用户。

作为特权用户管理的一部分,安全和运营团队应该确保密钥在内部以及云中受到安全保护,理想情况下,密钥应该放在硬件安全模块或者其他专用于控制加密密钥的高度安全平台中。当开发人员需要整合密钥到其部署管道时,应该利用工具来保护这些敏感信息,例如Ansible Vault或者Chef加密数据包。

为了确保这些特权账户不会被滥用,安全团队应该收集和监控云环境中可用的日志,以及使用AWS Cloudtrail等内置工具或者商业日志和事件监控工具及服务。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Dave Shackleford
Dave Shackleford

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。

用户自动配置>更多

相关推荐

技术手册>更多

  • 清除间谍软件

    本文将帮助理解间谍软件、它的来源、行为方式和引起的问题,并提供一些清除间谍软件的技术,以及如何防御将来的入侵。

  • 安全密码管理

    在使用电脑的过程中,我们无时无刻不在与密码打交道。如果自己设置的密码被别人猜到或破译,那么则会重要资料、个人隐私被泄露。因此安全密码的管理是与每个人都相关的一件大事。本专题中将用实例介绍如何安全密码的创建、管理和破解。

  • 如何选择应用防火墙

    Web应用防火墙(Web application firewall)或应用层防火墙是一种旨在保护Web应用程序免受攻击和数据泄露危害的装置或软件。那些急于达到PCI安全标准的企业在选择Web应用防火墙(WAF)时往往无所适从。怎样才知道该选择什么产品?如何才能有效地部署和管理这些工具和软件?如何把它们与现有的基础架构有机组合起来?下面我们将列出在评估产品时帮助你遵从法规的需要着重考虑的几点。

  • SQL注入攻击

    SQL注入是一种安全漏洞。它是对数据库驱动的应用程序攻击的一个特定类型。在这种攻击中,攻击者操纵网站基于Web的界面,迫使数据库执行不良SQL代码。攻击者可以利用这个安全漏洞向网络表格输入框中添加SQL代码以获得访问权。而今天的SQL注入攻击者查找漏洞的技术更加先进。他们使用各种工具加快开发进程。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算