随着企业纷纷“上云”,安全和风险管理团队开始将目光聚焦于身份管理,将其视为新的安全防线,即所谓的“身份成为新的安全边界”。然而,与传统的本地环境相比,云端的身份和访问管理(IAM)实施和维护面临着独特的挑战。
例如,迁移到云端意味安全团队实施IAM的方式需要改变,除了困扰企业的常见身份管理问题(例如密码疲劳和管理分散员工)之外,企业还面临以下七个云IAM的“专属”挑战:
1 账户清单盲区
跨多个云平台的用户访问权限往往缺乏可见性,哪些用户可以访问应用程序?在哪里访问应用程序?清晰的用户账户授权图谱是合规的基石,也是安全团队梦寐以求的利器。
解决方案:中央目录+联合身份认证/单点登录
无论是SaaS、PaaS还是IaaS,所有账户都应归拢到中央目录服务,如Active Directory,并借助联合身份认证和单点登录实现统一的访问控制。
对于需要存在于一个或多个云环境中的独特服务和管理帐户,请构建相应流程定期审核和监控异常。
2 用户和服务“野蛮生长”
缺乏严谨的账户创建和注销流程,会导致“影子账户”泛滥,前员工保留访问权限更是安全隐患。
解决方案:集中式账户创建和注销
建立统一流程,在员工离职或终止时删除所有云账户,理想情况下使用集成所有联合身份认证和单点登录功能的单一工具或服务。
3 SaaS僵尸账户泛滥
僵尸账户(不活跃用户)问题在SaaS产品中尤为突出。很多SaaS应用无法与联合身份认证和SSO很好地集成,或者压根没法集成,这导致有些云应用可能需要本地用户操作管理功能。
解决方案:云安全态势管理平台/云访问安全代理/安全服务边缘平台
这些平台可以帮助您发现谁在做什么以及在哪里。定期对所有SaaS进行审计,清理僵尸账户,尤其关注未集成中央目录系统的合作伙伴和承包商。
4 身份生命周期管理失控
这对于IAM来说并不是一个新问题,但云环境的复杂性增加了身份管理盲区,由于缺乏对创建内容、创建者和创建地点的可见性,难以追溯身份创建者和用途。
解决方案:统一身份管理
尽量避免在SSO和联合身份认证中央目录系统之外创建身份,并根据需要调整现有的生命周期管理实践来适应云环境。
5 职位变动导致混乱
员工职位变动容易引发角色权限的混乱,尤其在拥有大规模云端部署的企业中更是棘手。
解决方案:角色变更审计和关联规则
在所有云环境中启用角色变更日志记录和审计,并建立内部关联规则,确保变更符合批准流程和管理层指示。
6 “超级管理员”泛滥
过多的管理员账户是安全漏洞的隐患,云环境中更是如此,这是一个典型的特权用户管理(PUM)问题:企业的云服务环境往往有太多管理员。管理员帐户的激增可能会导致许多问题,例如云配置错误和意外的云数据泄露。
解决方案:集中式特权用户管理
考虑部署中央控制平台,分配特权并追踪管理员账户。DevOps管道账户和特权SaaS账户的激增使得这一需求更加迫切。
7 PaaS和IaaS权限失控
细粒度的权限和庞大的服务列表,让PaaS和IaaS环境的权限管理成为一项艰巨任务。
解决方案:自动化IAM监控和报告
大多数主要PaaS和IaaS提供商(包括AWS、Microsoft和Google)都提供自动化的云原生IAM监控和报告功能。例如,AWS IAM访问分析器等服务可根据行业最佳实践和观察到的行为模式帮助确定身份在哪些方面可能拥有过多特权。围绕监控构建流程,用于访问审计和权限管理活动。你还可以采用第三方工具,获得更细粒度的细节和功能,例如攻击路径可视化和角色访问建模。
结语
大多数云端IAM挑战可通过集中控制、监控、强认证、审计和流程治理来部分或完全缓解,例如云身份代理、SSO、联合身份认证和MFA多因素认证,以及云环境中的审计和监控控制。
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。