保护云管理控制台的 5 个最佳实践

首先，我们探讨下云管理控制台，管理员可以使用这些控制台来设置整个云环境，监督所有类型的云活动（即，使用跟踪，数据集成，资源部署等）并配置操作和安全设置。在我们深入研究之前，先来看一下云的当前状态。

企业如何采用云？

尽管对于某些组织而言，实现完全基于云的 IT 基础架构才是最终的数字化转型目标，但目前绝大多数组织都在采用混合云方法。根据最近的一项行业研究，有 93％的企业制定了多云策略。与此同时，随着世界适应新的现实，软件即服务（SaaS）的使用持续激增，使公司能够开展关键业务并授权员工可以远程工作。

不可否认的是，在云中运行企业应用程序和部署云基础架构带来了一些商业优势，如，增强的灵活性、简化的操作、节省的成本和可扩展性。但是，每种云部署方案都会带来新的风险。在 COVID-19 之后尤其如此。随着领导者加快其云计算旅程以实现快速数字化，云中的关键数据和资产成为了攻击者们的主要目标。仅在 2020 年的前几个月内，针对云的网络攻击就以惊人的速度增长了 630％。

现在比以往任何时候都更重要的是，组织必须充分了解自己在保护云工作负载方面的角色，将其作为共享责任模型的一部分。虽然云提供商负责云基础架构本身，但云客户必须确保其数据、应用程序、操作系统，支持的基础架构以及在云环境中运行的资产的安全。

与人类用户、应用程序和机器身份相关的特权帐户功能异常强大，并且极易在云中遭到破坏。在这样的环境中保护特权访问至关重要，而云客户责无旁贷。实际上，强大的特权访问管理（PAM）和身份访问管理（IAM）控件可以缓解当今超过一半的顶级云计算威胁。

保护云管理控制台的 5 个最佳实践

由于云管理控制台和门户能够完全控制组织的云资源，因此它们是网络攻击者的主要目标，必须保护和监视对它们的所有访问。对于功能强大的根级帐户尤其如此（具有不可撤销的管理特权的帐户），例如 AWS 根用户帐户，Azure 全局管理员角色和 Google Cloud Platform（GCP）超级用户帐户。

1.将所有云管理控制台访问（针对人类和机器用户）都视为特权。 首先，确定用户、应用程序或计算机执行其指定任务所需的权限。为每个用户角色构建角色，并遵循最小特权原则，仅允许他们访问所需的内容。实施特权访问管理控制，包括会话隔离、监视和凭据轮换，以降低风险。

2.实施即时访问以减少攻击面。 通过提供对云管理控制台的即时访问（而不是长期访问），可以在启动会话时提供权限，有助于确保只有正确的用户才能在正确的时间访问正确的资产。

3.使用单点登录（SSO）和多因素身份验证（MFA）保护所有人对云控制台的访问。 无论对云控制台的访问是静态的还是临时的，人员访问都应该受到 SSO 和 MFA 的保护。SSO 使用户可以更轻松地访问其工作的应用程序，而不必记住多个密码。此外，通过 SAML 到云控制台的 SSO 使联邦用户可以在云提供商中扮演角色。角色是具有特定权限的 IAM 标识，任何需要它的人都可以使用它，它与特定用户没有关联，也没有长期凭据。角色的目的是仅为该特定会话提供对控制台的临时访问。同时，MFA 通过要求用户进行多次身份验证挑战来确认用户的身份。

4.安全的 API 和对云管理控制台的自动访问。 可以由自动化脚本通过 API 访问密钥访问云管理控制台和门户。这些 API 密钥具有很高的特权和强大的功能，例如，它们可以使脚本或用户停止或启动虚拟服务器，复制数据库甚至清除整个工作负载。为了保护您的云工作负载，保护 API 密钥和应用最小特权是必不可少的。

5.跨多云、本地和混合环境向管理员一致地应用访问策略。 只需一个安全管理员就可以删除整个云环境配置。出于安全和审计的目的，必须进行严格的特权访问监督。记录管理员活动并监视活动会话，根据预定义的风险行为和活动分配会话风险评分，例如在非工作时间或从不规则的位置访问控制台。这使组织能够快速识别滥用情况，并在怀疑潜在攻击时终止会话。

攻击者可以找到并滥用权限来提升特权，成为完整的云管理员。此外，他们还可以轻松地使用这些权限来隐藏影子实体，这些实体可以用作云环境的后门。扫描您的环境以发现特权实体（用户，组和角色）并暴露隐藏的影子管理员。

安全云是您的业务优势

目前，您可能正在使用 DevOps 管道扩展云计划，以提高业务灵活性。或者您正在寻找按需计算和存储以节省成本。无论您处在云计算旅途中的何处，都必须在整个组织中一致地实施特权访问和身份策略，以减少风险并保护您的关键资产。

文章来源：cyberark.com/resources/blog/5-best-practices-for-securing-privileged-access-and-identities-in-the-cloud-management-console

关于我们

「龙归科技」 是一个专注于低代码赋能企业级信息化服务提供商。核心创始人团队来自绿盟安全、红帽开源操作系统、知名游戏玩蟹科技、知名开源社区等专家共同创立。

「龙归科技」 致力于让中国每一个企业拥有专属的自动化办公操作系统，助力企业或政府拥抱 （Cloud Native First）云原生优先战略，帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施！从而实现 「数字化转型」 及 「软件行业工业化生产」 ！

主打产品：ArkOS 方舟操作系统：一个企业级办公自动化操作系统 ，结合自研低代码应用开发平台，构建产业生态，专注为各类企业与组织机构打造一体化全栈云原生平台。系统自带应用包括：ArkID 统一身份认证，ArkIDE，ArkPlatform，App Store 等产品。截至目前，公司已经获得 15 个 软件著作权、2 个发明专利，并与 2020 年 11 月份，获得北京海淀区中关村国家高新技术企业认定。

相关链接：

官网：https://www.longguikeji.com/

文档：https://docs.arkid.longguikeji.com/

开源代码仓库地址：

https://github.com/longguikeji

https://gitee.com/longguikeji

历史文章

1. 登录的轮子，你还在造？
   

2. 企业级单点登录——信息化体系建设基础
   

3. 远程办公，你准备好了吗？
   

4. 企业信息化，怎样才算数？
   

5. 龙归科技 | 对未来的若干猜测
   

6. 龙归科技 | 企业办公自动化的未来
   

7. 龙归科技 | 软件的成本下降