身份:云中安全的结缔组织
云中的一切与风险暴露之间几乎都只差一个过度特权或错误配置的距离。适当的云态势和授权管理可以帮助缓解风险并消除有风险的组合。
在实施和配置云安全解决方案时,很容易因为要监控大量的“事物”而不堪重负。这其中包括 Kubernetes 基础设施上运行的 Web 应用程序(包括 IaaS 和容器资源),以及与人员和机器相关的身份等。云安全团队必须管理每个资源的服务身份,并扫描其中的漏洞和错误配置。因为需要监控的事物太多,企业通常会寻求工具和单点式解决方案的帮助来对抗这些威胁载体。许多企业最终只会在环境中得到一大堆晦涩难懂的安全解决方案缩写,导致在配置和实施所有这些不同的产品时花费巨额成本。
通常情况下,每个工具都会产生各自大量的安全调查结果,并根据不同的重要性指标进行处理。因此,即使工具的技术先进,安全团队也仍然要面对海量的电子表格,努力协调所有结果并进行优先级分析。
保护云中身份安全的重要性
为了实施更有效的安全策略,企业必须首先将威胁制造者在侵入云基础设施时试图达到的目标隔离出来。最近很明显的一点是,几乎所有的云外泄都利用了错误配置的身份和授权。身份定义安全联盟 (IDSA) 开展的“2022 年数字身份安全趋势”调查发现,在该研究覆盖的 12 个月中,有 84% 的公司遭受了与身份相关的外泄。原因是什么?这不仅是因为身份已经深深地交织到我们在云中运行和构建的一切中,还因为这是一个极其复杂的亟待解决的问题。在试图真正理解与身份管理相关的风险时,会发现有太多变量在发挥作用。
无论是公开的 Amazon EC2 实例中存在已知可利用的漏洞,还是通过手动或代码方式导致基础设施配置错误,当云风险暴露遭到利用时,攻击者都会立即寻求一个身份。他们会测试授权以便横向移动或提升特权,以试图访问敏感数据和其他资源。身份是云中的边界,由于其深远的影响,身份和授权安全应该成为全面云安全计划的基础。
理解服务身份与人员身份的区别
在保护身份方面,最重要的是要理解服务身份和人员身份之间的区别,以及为了实现最低特权原则而采取的不同的身份保护方法。服务身份旨在服务于工作负载,并以一致且可预测的方式运行。对已经分配了哪些权限与实际使用了哪些权限进行评估对于理解“有效权限”至关重要。由于服务身份通过编程的方式用于特定目的,其要求很少更改,因此可以根据活动将其权限降至最低限度,也就是最低特权原则。
相比之下,人员身份供真实的人员使用。这导致人员身份不可预测,很难为特定资源和操作调整权限大小,特别是当出现临时任务时。为了执行零信任,实施集成式即时 (JIT) 访问计划至关重要。企业不可能完全消除人员用户访问云的所有权限。这也不现实。以下是一种大幅降低与人员身份相关风险的方法:让 DevOps 团队有能力以编程方式为特定任务请求关键环境中的短期云访问权限,并确保这种短期访问工作流集成到 Slack、Microsoft Teams 等现有的通信工具中。
安全计划如果没有考虑到这些差异,可能会导致庞大的工作量以及 DevOps 和 IT 团队之间的摩擦。要实现 DevSecOps 的承诺,意味着要确保以可扩展的方式将安全嵌入到工作流中。集成式云基础设施和授权管理 (CIEM) 和云原生应用程序保护平台 (CNAPP) 工具就可以在这些领域发挥作用。这些工具之间的集成可以让企业对云基础设施、Kubernetes、容器、基础设施即代码 (IaC)、身份、工作负载等获得可见性和控制能力。
在集成式 CNAPP 和 CIEM 安全解决方案中需要追求以下功能:
- 授权洞察和可视化:正如那句古老的安全格言所说,没有可见性,保护就无从谈起。对多云资源、权限及其活动获得准确的可见性是一个重要的起点。
- 持续风险评估:企业需要持续监控云环境,以检测和评估网络风险暴露、错误配置、有风险的权限、暴露的机密和与身份相关的威胁等风险因素,包括异常数据访问。
- 执行最低特权原则:集成式工具应能够通过最低特权策略实现权限防护自动化。
- 简化修复: 只要知道风险在哪里,就应该很容易在工具中进行修复,并且有机会将重要的安全策略领域自动化。
- 以开发人员为中心的访问权限控制:为 DevOps 团队提供工具,助其将安全集成到工作流中,从而消除安全方面的挫折感。
利用上下文对抗警报疲劳
虽然许多安全团队会花费时间调整控制措施和策略以抵御警报超负荷的情况,但更好的方法是将 CNAPP 和 CIEM 等安全工具集成到一个单一平台中,并且该平台还能提供整个攻击面中丰富的上下文。通过集成式安全工具,企业就能将“严重”的真正含义标准化,并更好地理解攻击者可以用于在云环境中造成损害的攻击路径。此外,当发现新的威胁和零日漏洞时,更新起来也容易得多。
例如,企业的云环境中可能运行了 100 个公开可访问的工作负载,但其中只有 10 个工作负载存在严重漏洞,这其中又只有 5 个工作负载同时存在严重漏洞和高特权。通过这些上下文信息,安全团队可以深入了解在何处投入精力修复最有可能遭到利用的漏洞。安全团队往往会试图解决所有 100 个公开的工作负载,因为单点式解决方案缺乏有效应对威胁所需的集成式和以身份为中心的上下文。
了解风险和风险暴露的集成能力至关重要。不仅从基础设施或漏洞的角度来看,这些能力非常重要,而且作为一种从整体来看待一切,并根据环境中实际发生的情况动态调整风险评分的方式,这些能力也非常重要。
要了解更多关于保护云中身份安全的信息,请观看按需网络研讨会“管理云中的安全态势和授权”。
Christopher Edson
Tenable 高级解决方案架构师
Chris Edson 是一位资深的高级解决方案架构师,专门帮助 Tenable 规模最大、最具战略意义的客户设计和保护其现代云基础设施。Chris 已经在 Tenable 工作了九年多的时间,并利用其专业知识为整个 Tenable 产品组合带来了独特视角。作为 Nessus 的资深用户,在加入 Tenable 之前,Chris 曾以 Tenable 爱好者的身份开始了其职业生涯,并热衷于帮助社区和客户转型和升级云安全计划。Chris 拥有马里兰大学巴尔的摩郡分校信息安全理学学士学位,并获得了 Amazon Web Services (AWS) 解决方案架构、设计和安全认证。
相关文章
Abusing Client-Side Extensions (CSE): A Backdoor into Your AD Environment
Crucial for applying Active Directory Group Policy Objects, client-side extensions (CSEs) are powerful but also present a significant, often overlooked, attack vector for persistent backdoors. Rather than cover well-documented common abuses of built-in CSEs, this article demonstrates how to create c...
How Identity Plays a Part in 5 Stages of a Cyber Attack
While credential abuse is a primary initial access vector, identity compromise plays a key role in most stages of a cyber attack. Here’s what you need to know — and how Tenable can help....
Identity Security Is the Missing Link To Combatting Advanced OT Threats
Sophisticated OT threats, like living-off-the-land (LotL) attacks, exploit identity vulnerabilities to infiltrate critical infrastructure. Find out how robust identity security and unified exposure management can help you detect, prioritize and mitigate risks across IT and OT environments....
- Active Directory
- Active Directory