在云中確保身份和數據的安全對于很多組織來(lái)說(shuō)是一種挑戰，但是最低權限的訪(fǎng)問(wèn)方法會(huì )有所幫助。

根據云計算安全聯(lián)盟(CSA)最近發(fā)布的一份調查報告，在云計算面臨的11種最大威脅中，配置錯誤和變更控制不足排在第二位，僅次于數據泄露。

Capital One公司的數據泄漏事件就是一個(gè)很好的例子，該事件導致該公司1.06億張信用卡客戶(hù)和申請人的數據泄露。網(wǎng)絡(luò )攻擊者利用了開(kāi)放源Web應用程序防火墻(WAF)中的一個(gè)漏洞，該漏洞被用作銀行基于A(yíng)WS云平臺操作的一部分。

通過(guò)這個(gè)漏洞，網(wǎng)絡(luò )攻擊者可以獲取憑據以訪(fǎng)問(wèn)Web應用程序防火墻(WAF)以訪(fǎng)問(wèn)所有資源。不幸的是，Web應用程序防火墻(WAF)被賦予了過(guò)多的權限，也就是說(shuō)，網(wǎng)絡(luò )攻擊者可以訪(fǎng)問(wèn)任何數據桶中的所有文件，并讀取這些文件的內容。這使得網(wǎng)絡(luò )攻擊者能夠訪(fǎng)問(wèn)存儲敏感數據的S3存儲桶。

減輕這種身份濫用的最有效方法是執行最低特權原則。在理想情況下，每個(gè)用戶(hù)或應用程序應僅限于所需的確切權限。

實(shí)施最低特權的第一步是了解已授予用戶(hù)(無(wú)論是人員還是機器)或應用程序哪些權限。下一步是映射所有實(shí)際使用的權限。兩者之間的比較揭示了權限差距，從而暴露了應保留的權限和應撤銷(xiāo)的權限。因此必須定期連續執行這一過(guò)程，以保持一段時(shí)間內的最小特權。

為了說(shuō)明這個(gè)過(guò)程如何在云平臺中工作，以主流的AWS云平臺為例，并且提供可用的細粒度身份和訪(fǎng)問(wèn)管理(IAM)系統之一。AWS身份和訪(fǎng)問(wèn)管理(IAM)是一個(gè)功能強大的工具，它允許管理員安全地配置超過(guò)2500個(gè)權限，以實(shí)現對給定資源可以執行哪些操作的細粒度進(jìn)行控制。

步驟1：檢查附加政策

第一步是檢查直接附加到用戶(hù)的策略。有兩種類(lèi)型的策略：

•托管策略有兩種類(lèi)型：由云計算服務(wù)提供商(CSP)創(chuàng )建和管理的AWS托管策略，以及(組織可以在其AWS帳戶(hù)中創(chuàng )建和管理的客戶(hù)托管策略。與AWS托管策略相比，客戶(hù)托管策略通常提供更精確的控制。

•內聯(lián)策略，由AWS客戶(hù)創(chuàng )建并嵌入在身份和訪(fǎng)問(wèn)管理(IAM)標識(用戶(hù)、組或角色)中。當最初創(chuàng )建或稍后添加身份時(shí)，可以將它們嵌入標識中。

步驟2：分析身份和訪(fǎng)問(wèn)管理(IAM)組

下一步是檢查用戶(hù)所屬的每個(gè)身份和訪(fǎng)問(wèn)管理(IAM)組。這些還具有附加策略，可以間接授予用戶(hù)訪(fǎng)問(wèn)其他資源的權限。就像用戶(hù)本身一樣，組可以附加到托管策略和內聯(lián)策略。

步驟3：映射身份和訪(fǎng)問(wèn)管理(IAM)角色

現在，所有附加到用戶(hù)的身份和訪(fǎng)問(wèn)管理(IAM)角色都需要映射。角色是另一種類(lèi)型的標識，可以使用授予特定權限的關(guān)聯(lián)策略在組織的AWS帳戶(hù)中創(chuàng )建。它類(lèi)似于身份和訪(fǎng)問(wèn)管理(IAM)用戶(hù)，但其角色可以分配給需要其權限的任何人，而不是與某個(gè)人唯一關(guān)聯(lián)。角色通常用于授予應用程序訪(fǎng)問(wèn)權限。

步驟4：調查基于資源的策略

接下來(lái)，這一步驟的重點(diǎn)從用戶(hù)策略轉移到附加到資源(例如AWS存儲桶)的策略。這些策略可以授予用戶(hù)直接對存儲桶執行操作的權限，而與現有的其他策略(直接和間接)無(wú)關(guān)。對所有AWS資源及其策略(尤其是包含敏感數據的策略)進(jìn)行全面審查非常重要。

步驟5：分析訪(fǎng)問(wèn)控制列表

在策略審查完成之后，分析應該移至鏈接到每個(gè)資源的訪(fǎng)問(wèn)控制列表(ACL)。這些類(lèi)似于基于資源的策略，并允許控制其他帳戶(hù)中的哪些身份可以訪(fǎng)問(wèn)該資源。由于不能使用訪(fǎng)問(wèn)控制列表(ACL)來(lái)控制同一帳戶(hù)中身份的訪(fǎng)問(wèn)，因此可以跳過(guò)與該用戶(hù)相同帳戶(hù)中擁有的所有資源。

步驟6：查看權限邊界

在這一步驟中，需要檢查每個(gè)用戶(hù)的權限邊界。這是一項高級功能，用于定義用戶(hù)、組或角色可能具有的最大權限。換句話(huà)說(shuō)，用戶(hù)的權限邊界基于附加的策略和權限邊界定義了允許他們執行的動(dòng)作。重要的是要注意權限邊界不會(huì )以相同的方式影響每個(gè)策略。例如，基于資源的策略不受權限邊界的限制，這些策略中的任何一個(gè)明確拒絕都將覆蓋允許。

步驟7：檢查服務(wù)控制策略

最后，有必要檢查服務(wù)控制策略(SCP)。從概念上講，這些權限類(lèi)似于在A(yíng)WS賬戶(hù)中所有身份(即用戶(hù)、組和角色)上定義的權限邊界。服務(wù)控制策略(SCP)在A(yíng)WS組織級別定義，并且可以應用于特定帳戶(hù)。

強制最小權限訪(fǎng)問(wèn)

正如人們所看到的，在云中保護身份和數據是一項挑戰，隨著(zhù)組織擴展其云計算足跡而變得越來(lái)越復雜。在許多情況下，用戶(hù)和應用程序往往會(huì )積累遠遠超出其技術(shù)和業(yè)務(wù)要求的權限，這會(huì )導致權限差距。

通常，在像AWS云平臺這樣的復雜環(huán)境中，確定每個(gè)用戶(hù)或應用程序所需的精確權限所需的工作成本高昂，而且無(wú)法擴展。即使是諸如了解授予單個(gè)用戶(hù)的權限之類(lèi)的簡(jiǎn)單任務(wù)也可能非常困難。

為了使其中一些流程實(shí)現自動(dòng)化， AWS公司幾年前發(fā)布了一個(gè)名為Policy Simulator的工具，該工具使管理員可以選擇任何AWS實(shí)體(即IAM用戶(hù)、組或角色)和服務(wù)類(lèi)型(例如關(guān)系型數據庫服務(wù)或S3存儲桶)，并自動(dòng)評估特定服務(wù)的用戶(hù)權限。

盡管Policy Simulator是一個(gè)很棒的工具，但并不十分成熟。例如，Policy Simulator不會(huì )檢查用戶(hù)可能承擔的所有角色及其策略(步驟3)。它還不考慮訪(fǎng)問(wèn)控制列表(ACL)(步驟5)或權限邊界(步驟6)。在大多數情況下，組織被迫執行人工策略管理或編寫(xiě)專(zhuān)有腳本。

如人們所見(jiàn)，在云計算環(huán)境中管理身份和訪(fǎng)問(wèn)以實(shí)施最低特權策略非常復雜，需要大量人工工作，并且成本高昂。由于這門(mén)學(xué)科還處于起步階段，因此缺少云平臺提供商提供的可靠的原生工具。在通常情況下，第三方解決方案正在填補市場(chǎng)空白。

來(lái)源;企業(yè)網(wǎng)D1Net | 企業(yè)網(wǎng)D1Net

圖片來(lái)源：找項目網(wǎng)