5保护云管理控制台特权访问和身份的最佳实践
2020年10月27日

在接下来的几周, ab视讯下注将探讨在常见云场景中保护特权帐户和身份的最佳实践. 随着云工作负载的发展,本系列文章可以帮助指导当前和未来的有效风险降低策略.

首先, ab视讯下注正在研究云管理控制台, 管理员使用哪些来设置整个云环境, 监督所有类型的云活动(i.e. 使用跟踪, 数据集成, 资源部署等),并配置操作和安全设置. 在深入讨论之前,ab视讯下注先来看看云的当前状态.

企业如何采用云计算?

虽然实现完全基于云的IT基础设施可能是一个终极目标 数字转换 一些组织的目标,绝大多数今天都在采用混合方法. 根据最近的一项行业研究, 93%的企业 是否有适当的多云策略. 与此同时,随着世界适应新的现实, 软件即服务(SaaS)的使用持续飙升,使公司能够进行 关键业务 和授权 远程的劳动力.

部署云基础设施和在云增强的灵活性中运行企业应用程序的业务好处是不可否认的, 简化操作, 节省成本和可伸缩性只是其中的一小部分. 然而,每一个云部署场景都会带来新的风险. 特别是在新冠肺炎疫情之后. 随着领导者加速他们的云之旅,快速数字化, 攻击者正在认真地瞄准云中的关键数据和资产. 仅在2020年的头几个月里,针对云的网络攻击就增长了一倍 惊人的630%.

现在比以往任何时候都重要, 对于组织来说,充分理解他们在保护云工作负载方面的作用是很重要的 分担责任模式. 而云供应商则负责云基础设施本身, 云客户必须保护他们的数据, 应用程序, 操作系统, 支持在云环境中运行的基础设施和其他资产.

特权帐户 与人类用户和应用程序相关的机器身份异常强大和 在云中很容易被泄露. 保护这些环境中的特权访问是最重要的,责任在于云客户. 事实上,超过一半的 云计算的主要威胁 今天可以通过强大的特权访问管理(PAM)和身份访问管理(IAM)控制来缓解.

5云管理控制台安全最佳实践

因为云管理控制台和门户可以完全控制组织的云资源, 它们是网络攻击者的主要目标,所有访问它们的权限都必须受到保护和监控. 对于功能强大的根级帐户——具有不可撤销的管理特权的帐户,如AWS根用户帐户,尤其如此, Azure全局管理员角色和谷歌云平台(GCP)超级用户帐户.

1. 将所有云管理控制台访问(针对人和机器用户)视为特权. 首先,确定用户或应用程序/机器执行指定的工作需要哪些权限. 为每个用户角色构建角色,让他们只访问他们需要的内容 最小特权原则. 实施特权访问管理控制,包括会话隔离, 监控和证书轮换以降低风险.

2. 实现实时访问以减少攻击面. 通过提供 即时访问 到云管理控制台, 与站访问, 在启动会话时提供权限—有助于确保只有正确的用户在正确的时间访问正确的资产, 而且只是在一定的时间内.

3. 使用单点登录(SSO)和多因素身份验证(MFA)保护所有人对云控制台的访问. 无论对云控制台的访问是固定的还是临时的,都应该用 SSO 而且 MFA. SSO使用户更容易在一个地方访问他们的工作应用程序,而不必记住多个密码. 另外, 通过SAML到云控制台的单点登录使联邦用户能够承担云提供者中的角色. 角色是一种IAM身份,具有特定的权限,可以由任何需要它的人使用——它不与特定的用户关联,也没有长期的凭证. 角色的目的是仅为特定会话提供对控制台的临时访问. 并行, MFA通过要求用户通过多个身份验证挑战来确认用户的身份.

4. 安全的API和对云管理控制台的自动访问. 可以通过API访问键通过自动化脚本访问云管理控制台和门户. 这些API密钥是高度特权和非常强大的—例如, 它们可以使脚本或用户停止或启动虚拟服务器, 复制数据库,甚至清除整个工作负载. 为了保护您的云工作负载,保护API密钥并应用最少的特权是必要的.

5. 在多云环境中一致地为管理员应用访问策略, 室内和混合环境. 一个受损害的管理员就可以删除整个云环境配置. 强大的特权访问监督对于安全和审计目的是必要的. 记录管理活动并监视活动会话, 根据预先定义的风险行为和活动分配会话风险评分, 例如在非工作时间或不正常的位置访问控制台. 这使组织能够快速识别误用,并在怀疑潜在攻击时终止会话.

攻击者可以找到并滥用权限来升级权限并成为完全的云管理员. 更重要的是, 他们可以很容易地使用这些权限来隐藏隐藏的影子实体,这些影子实体可以被用作云环境的后门. 扫描你的环境 发现特权实体(用户、组和角色)并暴露秘密 云的影子管理员.

安全云是您的业务优势

今天,您可能正在使用DevOps管道扩展云计划,以增加业务敏捷性. 或者,您可能正在考虑按需计算和存储以节省成本. 无论您在云之旅的何处, 必须在整个组织中一致执行特权访问和身份策略,以减少暴露并保护关键资产. 在ab视讯下注的电子书中获得实用的指导。”4个关键云场景的特权访问和身份安全”,访问 cyberark.com/cloud. 一定要很快回来查看ab视讯下注关于保护组织的动态云基础设施的系列文章的第2部分.

原文: Cyberark

职位:siteadmin
更多的文章 云安全 | 用户安全
网络安全和在家工作的影响

网络安全和在家工作的影响

在发布封锁令的时候, 对于大多数员工甚至公司来说,在家工作听起来就像是天堂,因为他们看到了在节省各种管理费用的同时,可以在很大程度上按照自己的方式工作的机会. 这种快乐被忽视了...

阅读更多
友情链接: 1 2 3 4 5 6 7 8 9 10