如何在云中处理特权用户管理问题

日期:2017-1-6作者:Dave Shackleford翻译:滕晓龙来源:TechTarget中国 英文

【TechTarget中国原创】

对于在云中进行操作的企业来说,特权用户管理是非常重要的。专家Dave Shackleford在本文中介绍了一些最佳做法以帮助确保云访问控制的安全性。

很多企业正试图针对他们雇员所使用的各种云应用和服务来确保用户账户的安全性,其中的原因很合理:越来越多的攻击者通过诸如网络钓鱼攻击和驱动下载等方法将云账户和登陆凭据作为攻击目标,以求获得访问企业数据的权限。虽然企业用户已经非常注意对用户账户的保护,但是如果root账户和管理员账户被攻破,那么所带来对企业的破坏性影响将是更为惊人的。

例如,让我们来看看Code Spaces的例子,这家公司的亚马逊网络服务(AWS)管理门户是在2014年被入侵的。一旦攻击者进行访问,公司的整个基础设施架构就赤裸裸地暴露在攻击者面前,这最终导致了企业的倒闭。那么,企业用户应当如何保护与其环境相关联的特权账户,并实施强大的特权用户管理呢?

在大多数的基础设施即服务(IaaS)云中,存在着若干种形式的管理员访问或root访问。在默认情况下,IaaS环境需要系统创建一个特殊的用户账号作为初始管理员,这个特殊帐户通常仅通过用户名或者带有密码的电子邮件进行身份验证。然后,这个初始管理员账户就可以配置环境并创建新的用户和组。诸如微软公司Active Directory之类的用户目录也可被链接至云访问权限,从而根据企业内部角色向众多的管理员提供云访问权限。很多IaaS系统镜像或模板也都包括了一个默认的用户账户,这个账户拥有相应的特权。在AWS Machine Images中,这个默认的用户账户就是“ec2-user”。

特权用户管理的基本概念

首先,企业组织应当重新审视特权用户管理的核心概念,其中包括了职责分离和最低权限访问模式。很多云供应商都提供了内置的身份验证和访问管理工具,这些工具允许用户组织按照实际需要为每一个用户和工作组创建不同的策略。这就让安全团队能够帮助设计出符合最低特权原则的策略,即根据用户的角色不同而赋予不同用户能够执行其操作所绝对必需的权限。

对于在其应用内部不支持粒度角色和特权模式的云供应商,也许可以通过使用一个身份验证即服务供应商来达到这一目的,这个供应商将在内部凭证存储和云供应商环境之间代理身份认证信息,它同时也可用作一个单点登录门户。

对于访问云环境的所有特权用户账户而言,使用多重因素身份验证方式应当是强制性执行的一项措施,这一强制性措施本来完全可以防止恶意攻击者对Code Spaces控制的初始损害。很多供应商都提供了各种各样不同形式的多重因素访问方法,其中包括了最终用户端点证书、来自领先多重因素解决方案供应商的软硬令牌、以及SMS代码等——虽然这些方法的安全性都不尽相同,但总是聊胜于无的。

在理想情况下,拥有管理员特权的所有用户都应在所有类型云环境中使用一个已获批准的多重因素方法来访问管理控制台和任何其他敏感IT资产或服务。对于大多数企业用户而言,软令牌和证书一定会在实践中被证明是特权用户管理中最可行且最安全的选项。

最后,控制管理员访问和root访问的一个关键方面就是它们都是通过加密密钥的管理与监控来实现的。大多数的管理员账户(尤其是那些默认系统镜像中内置的管理员账号,例如亚马逊实例中的ec2-user)都是需要使用私钥来进行访问的。这些密钥一般都是在创建用户时生成的,或者也可以独立生成密钥,用户应当非常小心地做好密钥管理以防止任何对账户的非法访问,其中尤其是管理员账户或root用户账户。

作为特权用户管理中的一部分,安全与运行团队应当确保密钥在企业内部以及在云的安全性,理想情况下应当将密钥保存在一个硬件安全模块中或者其他专门用于控制加密密钥的高度安全平台中。需要将密钥集成至部署渠道的开发人员还应当使用工程设计的成熟工具来保护这一敏感信息,例如Ansible Vault 或 Chef加密数据包。

为了确保特权用户账户不被滥用,安全团队应当在云环境中收集和监控可用的日志,并使用诸如AWS CloudTrail之类的内置工具或商用日志记录和事件监控工具与服务。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Dave Shackleford
Dave Shackleford

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。

云的数据保护>更多

  • 公有云安全:多一重身份 多一份保障

    云是具有许多可独立工作的移动部件的分布式系统。包括存储和计算系统资源,以及更细粒度的服务,如API。

  • 公有云:如何实现多因素认证方法

    多因素认证(MFA)将传统的登录证书和授权用户持有的物理设备码结合起来。MFA也扩展到了公有云上,这里未授权用户可能会破坏重要的应用,并导致巨大的云上开支。

  • 数据中心副本策略:向左走还是向右走?

    安全威胁是无可避免的,网络犯罪随时可能发生;在这种情况下,容灾备份、设置副本是必要手段,我们无法做出全面预防,但我们可以做到完全的恢复,只要我们有副本。

  • 如何在云中处理特权用户管理问题

    虽然企业用户已经非常注意对用户账户的保护,但是如果root账户和管理员账户被攻破,那么所带来对企业的破坏性影响将是更为惊人的。

技术手册>更多

  • SaaS应用管理技术手册

    SaaS解决方案通常通过Web交付,通过订阅服务收费,而服务数目则取决于企业。SaaS软件解决方案属于厂商的网站,运行在厂商的服务器上。有一些用户的敏感数据可能也要放到厂商的存储设备上。厂商有责任升级、维护和支持应用软件。在这本技术手册中,我们将关注SaaS市场的发展现状以及如何选取最合适的SaaS应用,同时涉及目前主要面临的安全问题。

  • 云计算入门手册

    “虚拟桌面”的概念的从何而来的?支持虚拟桌面的框架有哪些?云计算与虚拟桌面、云计算与SOA的关系是什么?云计算架构模型呢?如何企业考虑使用云计算,应该注意哪些事项?本手册将为您解答在这些方面的疑惑。

  • 云计算与数据保护:云计算加密教程

    云计算和数据保护是非常棘手的一项工作。当企业把服务迁移至云计算时,由于失去了对其敏感数据的控制而只能依赖于云计算服务供应商来确保数据的安全性,他们往往会为此担惊受怕。本云计算数据保护教程选自SearchCloudSecurity.com以及专家技术文章。它对如何在云计算中保护数据提出了建议,并可作为云计算加密技术的使用指南。在教程中,我们讨论了云计算加密的意义、介绍了实施云计算加密的挑战以及若干使用案例。

  • 企业备战云迁移指导手册

    向云迁移已经是企业势在必行的工作,但云迁移并非那么简单,面临着一系列的安全、风险问题,企业需要做好成全准备,方能水到渠成。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心