云端身份认证和访问管理
根据 Gartner 的数据,到 2025 年,客户将承担 99%的云安全故障,而 90%的不控制公共云使用的组织将以不适当的方式共享敏感数据。鉴于公共云服务产品的巨大复杂性以及企业所倾向的混合云和多云部署,这不足为奇。
组织必须实施云所有权准则,建立治理策略,并找到一种方法来可视化谁可以访问其云环境,从而避免财务损失和数据泄露。例如,在最近一个涉及领先搜索引擎的事件中,密码被删除或过期的不安全服务器使网络犯罪分子可以访问用户的搜索记录和位置,从而使客户有遭受欺诈的风险。
本文探讨了企业在云 IAM 方面遇到的挑战,以及应该遵循的最佳实践!
为什么不能在云中部署本地 IAM
许多企业错误地认为他们可以对云和本地使用相同的 IAM 方法,这会面临安全风险,并且容易出错。云环境中的数据是高度分布式的,而数据中心环境是集中的且受到良好控制的,因此不能将相同的规则应用于两者。此外,云允许用户利用可动态上下扩展的弹性服务。这意味着云环境的变化速度很快,而适用于内部部署的旧 IAM 策略跟不上。因此,企业必须承认他们需要一套专门针对其云环境量身定制的新策略。
说起来容易做起来难,因为 81%的组织使用多云方法,而公共云提供商的 IAM 工具通常无法扩展到自己的平台之外,因此很难在所有云平台上实施标准化的 IAM 解决方案。
用户如何绑定 IAM 权限
云 IAM 中的一个常见错误是,组织对其权限过于自由,不管他们是否打算这样做。不同组中的人员(例如员工和承包商)可以访问云中的资源,可以在云环境中打开访问权限并更改权限。由于决策是分散的,并且由不能总是做出明智的访问决策的人所拥有,因此很容易在不知不觉中将访问权限授予本来不应该被授予访问权限的用户或资源。由于云环境广泛而复杂,因此查看哪些用户有权访问数据变得越来越困难。这种可见性的缺乏还可能使企业不知道过期/删除的密码会破坏资源。
未能保护特权用户的后果
证书被盗或泄露,云配置错误是 2019 年公司违规的最常见原因,占恶意事件的近 40%。在这些情况下,未经授权的用户会利用弱 IAM 策略来访问敏感资源和数据。所造成的漏洞通常会使公司平均损失 386 万美元,而且还不止于此。安全漏洞还会导致声誉受损和客户信任度下降,从而严重影响公司的价值。
最佳实践
为了避免数据泄露并确保数据安全,组织必须创建专门针对其云环境的 IAM 治理策略,并且他们必须能够执行这些策略。云 IAM 治理的最佳实践包括:
确保可见性以了解谁有权访问特定的云资源。 可见性必须是第一步,并且需要跨越整个多云环境。
设计,实施和强制执行 IAM 策略,以将对敏感资源的访问限制为只有真正需要它的用户和设备。 这包括设计权限,以便用户无法更改权限设置。这确保了通过策略进行的访问受到监视和保护。
调查安全工具,以确保您收到有关策略更改和后续风险的警报。 例如,如果将密码设置为过期,那么将向谁发出警报,并且如果密码过期将发生什么?不幸的是,资源通常是完全开放的,不需要任何身份验证。
暴露配置错误的云资源和人为错误。 问个问题:如果某些资源暴露在外,“爆炸半径”是多少?未经授权的用户可以利用该信息来访问其他资源吗?在编写和实施 IAM 策略时考虑扩展的攻击面有助于确保最关键的资产得到适当的保护。
未来
Gartner 预测,到 2024 年,大多数企业将继续努力衡量云安全风险。但是,这不应阻止组织使用云来驱动他们的工作负载,提高效率和生产力。企业必须具有云治理策略来评估风险与回报,以做出明智的决策。通过为人和机器实施治理 IAM 策略,同时提高云的可见性,企业可以确保数据保持安全,只有授权用户才能访问敏感数据,并且如果发生错误,爆炸半径将最小化。
文章来源:
关于我们
「龙归科技」 是一个专注于低代码赋能企业级信息化服务提供商。核心创始人团队来自绿盟安全、红帽开源操作系统、知名游戏玩蟹科技、知名开源社区等专家共同创立。
「龙归科技」 致力于让中国每一个企业拥有专属的自动化办公操作系统,助力企业或政府拥抱 (Cloud Native First)云原生优先战略,帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施!从而实现 「数字化转型」 及 「软件行业工业化生产」 !
主打产品:ArkOS 方舟操作系统:一个企业级办公自动化操作系统 ,结合自研低代码应用开发平台,构建产业生态,专注为各类企业与组织机构打造一体化全栈云原生平台。系统自带应用包括:ArkID 统一身份认证,ArkIDE,ArkPlatform,App Store 等产品。截至目前,公司已经获得 15 个 软件著作权、2 个发明专利,并与 2020 年 11 月份,获得北京海淀区中关村国家高新技术企业认定。
相关链接:
官网:<https://www.longguikeji.com/>
文档:<https://docs.arkid.longguikeji.com/>
开源代码仓库地址:
<https://github.com/longguikeji>
<https://gitee.com/longguikeji>
历史文章
评论