如何在云中处理特权用户管理问题

日期:2017-1-6作者:Dave Shackleford翻译:滕晓龙 来源:TechTarget中国 英文

【TechTarget中国原创】

对于在云中进行操作的企业来说,特权用户管理是非常重要的。专家Dave Shackleford在本文中介绍了一些最佳做法以帮助确保云访问控制的安全性。

很多企业正试图针对他们雇员所使用的各种云应用和服务来确保用户账户的安全性,其中的原因很合理:越来越多的攻击者通过诸如网络钓鱼攻击和驱动下载等方法将云账户和登陆凭据作为攻击目标,以求获得访问企业数据的权限。虽然企业用户已经非常注意对用户账户的保护,但是如果root账户和管理员账户被攻破,那么所带来对企业的破坏性影响将是更为惊人的。

例如,让我们来看看Code Spaces的例子,这家公司的亚马逊网络服务(AWS)管理门户是在2014年被入侵的。一旦攻击者进行访问,公司的整个基础设施架构就赤裸裸地暴露在攻击者面前,这最终导致了企业的倒闭。那么,企业用户应当如何保护与其环境相关联的特权账户,并实施强大的特权用户管理呢?

在大多数的基础设施即服务(IaaS)云中,存在着若干种形式的管理员访问或root访问。在默认情况下,IaaS环境需要系统创建一个特殊的用户账号作为初始管理员,这个特殊帐户通常仅通过用户名或者带有密码的电子邮件进行身份验证。然后,这个初始管理员账户就可以配置环境并创建新的用户和组。诸如微软公司Active Directory之类的用户目录也可被链接至云访问权限,从而根据企业内部角色向众多的管理员提供云访问权限。很多IaaS系统镜像或模板也都包括了一个默认的用户账户,这个账户拥有相应的特权。在AWS Machine Images中,这个默认的用户账户就是“ec2-user”。

特权用户管理的基本概念

首先,企业组织应当重新审视特权用户管理的核心概念,其中包括了职责分离和最低权限访问模式。很多云供应商都提供了内置的身份验证和访问管理工具,这些工具允许用户组织按照实际需要为每一个用户和工作组创建不同的策略。这就让安全团队能够帮助设计出符合最低特权原则的策略,即根据用户的角色不同而赋予不同用户能够执行其操作所绝对必需的权限。

对于在其应用内部不支持粒度角色和特权模式的云供应商,也许可以通过使用一个身份验证即服务供应商来达到这一目的,这个供应商将在内部凭证存储和云供应商环境之间代理身份认证信息,它同时也可用作一个单点登录门户。

对于访问云环境的所有特权用户账户而言,使用多重因素身份验证方式应当是强制性执行的一项措施,这一强制性措施本来完全可以防止恶意攻击者对Code Spaces控制的初始损害。很多供应商都提供了各种各样不同形式的多重因素访问方法,其中包括了最终用户端点证书、来自领先多重因素解决方案供应商的软硬令牌、以及SMS代码等——虽然这些方法的安全性都不尽相同,但总是聊胜于无的。

在理想情况下,拥有管理员特权的所有用户都应在所有类型云环境中使用一个已获批准的多重因素方法来访问管理控制台和任何其他敏感IT资产或服务。对于大多数企业用户而言,软令牌和证书一定会在实践中被证明是特权用户管理中最可行且最安全的选项。

最后,控制管理员访问和root访问的一个关键方面就是它们都是通过加密密钥的管理与监控来实现的。大多数的管理员账户(尤其是那些默认系统镜像中内置的管理员账号,例如亚马逊实例中的ec2-user)都是需要使用私钥来进行访问的。这些密钥一般都是在创建用户时生成的,或者也可以独立生成密钥,用户应当非常小心地做好密钥管理以防止任何对账户的非法访问,其中尤其是管理员账户或root用户账户。

作为特权用户管理中的一部分,安全与运行团队应当确保密钥在企业内部以及在云的安全性,理想情况下应当将密钥保存在一个硬件安全模块中或者其他专门用于控制加密密钥的高度安全平台中。需要将密钥集成至部署渠道的开发人员还应当使用工程设计的成熟工具来保护这一敏感信息,例如Ansible Vault 或 Chef加密数据包。

为了确保特权用户账户不被滥用,安全团队应当在云环境中收集和监控可用的日志,并使用诸如AWS CloudTrail之类的内置工具或商用日志记录和事件监控工具与服务。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Dave Shackleford
Dave Shackleford

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。

云的数据保护>更多

  • 企业须知:虚拟机隔离技术

    Joseph Lister是现代外科之父,他防腐手术方法方面做出的开创性贡献,使他为人们所熟知。自1865年开始,Lister开始将苯酚和石炭酸实践应用到伤口、器械以及外科医生的穿戴上。

  • 微软的Secure Data Exchange如何为云数据安全撑腰?

    微软的新服务——Secure Data Exchange,可以帮助企业在传输和休闲时期保护云数据。专家ob Shapland深入研究了这一服务,并解释了它是如何为企业服务的。

  • 公有云:如何实现多因素认证方法

    多因素认证(MFA)将传统的登录证书和授权用户持有的物理设备码结合起来。MFA也扩展到了公有云上,这里未授权用户可能会破坏重要的应用,并导致巨大的云上开支。

  • 数据中心副本策略:向左走还是向右走?

    安全威胁是无可避免的,网络犯罪随时可能发生;在这种情况下,容灾备份、设置副本是必要手段,我们无法做出全面预防,但我们可以做到完全的恢复,只要我们有副本。

技术手册>更多

  • 也谈应用和云集成

    应用集成从1980年代中期就已经成为企业软件的痛点,也是那个时候我第一次开始做IT报道。同样的老问题让不同的软件共存,大部分是因为业主权益要比开放标准高。

  • 购买云服务注意事项指南

    如果你需要数据中心有更多的计算或存储容量,但资本费用却成问题,那么公共云计算服务是一个很不错的选择。你可以根据需要获得可无限扩展的IT资源,只要为实际使用的那部分付费。但是在公共云中运行企业应用程序并不像有些提供商所说的那么简单。这本指南中的这些实用的指导准则探讨了购买云服务时要考虑的方面以及要提出的问题。

  • SaaS应用管理技术手册

    SaaS解决方案通常通过Web交付,通过订阅服务收费,而服务数目则取决于企业。SaaS软件解决方案属于厂商的网站,运行在厂商的服务器上。有一些用户的敏感数据可能也要放到厂商的存储设备上。厂商有责任升级、维护和支持应用软件。在这本技术手册中,我们将关注SaaS市场的发展现状以及如何选取最合适的SaaS应用,同时涉及目前主要面临的安全问题。

  • SaaS开发指南——安全篇

    SaaS技术在不断走向成熟,信息安全问题一直是IT行业不得不面对的问题,SaaS技术也逃不出这个魔咒。本技术手册分析SaaS开发过程中遇到的安全问题,并提供一些解决措施。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心