怎么在云中实现最小权限?

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
简介:

  怎么在云中实现最小权限?

  根据云计算权威组织云安全联盟(CSA)对241位行业专家的最新调查,云计算资源配置错误是导致组织数据泄露的主要原因。
_

  那么造成这种风险的主要原因是什么?由于数据规模巨大,因此在云中管理身份及其权限极具挑战性。它不仅仅是人们的用户身份,还包括设备、应用程序和服务。由于这种复杂性,许多组织都会出错。

  随着时间的推移,这个问题变得越来越严重,因为很多组织在没有建立有效分配和管理权限的能力的情况下扩展了他们的云计算规模。因此,用户和应用程序往往会积累远远超出技术和业务要求的权限,从而造成较大的权限差距。

  例如,美国国防部的一个军事数据库于2017年对外泄露,这个数据库是美国中央司令部(CENTCOM)和太平洋司令部(PACOM)从社交媒体、新闻网站、论坛和其他公开网站上搜集的18亿条以上互联网帖子,而美国国防部这两个统一作战司令部负责美国在中东地区、亚洲和南太平洋地区的军事行动,它配置了三个AWS S3云存储桶,允许任何经过AWS全球认证的用户浏览和下载内容,而这种类型的AWS帐户可以通过免费注册获得。

  关注权限

  为了减轻与滥用云中身份有关的风险,组织正在尝试实施最小特权原则。在理想情况下,应将每个用户或应用程序限制为所需的确切权限。

  从理论上讲,这个过程应该很简单。第一步是了解已为给定用户或应用程序分配了哪些权限。接下来,应该对实际使用的那些权限进行清点。两者的比较揭示了权限差距,即应保留哪些权限以及应修改或删除哪些权限。

  这可以通过几种方式来完成。认为过多的权限可以删除或监视并发出警报。通过不断地重新检查环境并删除未使用的权限,组织可以随着时间的推移在云中获得最少的特权。

  但是,在复杂的云计算环境中确定每个应用程序所需的精确权限所需的工作可能既费力又昂贵。

  了解身份和访问管理(IAM)控件

  以全球最流行的AWS云平台为例,该平台提供了可用的最精细身份和访问管理(IAM)系统之一。AWS IAM是一个功能强大的工具,使管理员可以安全地配置对AWS云计算资源的访问。身份和访问管理(IAM)控件拥有2,500多个权限(并且还在不断增加),它使用户可以对在AWS云平台中的给定资源上执行哪些操作进行细粒度控制。

  毫不奇怪,这种控制程度为开发人员和DevOps团队带来了相同(可能有人说更高)的复杂程度。

  在AWS云平台中,其角色作为机器身份。需要授予特定于应用程序的权限,并将访问策略附加到相关角色。这些可以是由云计算服务提供商(CSP)创建的托管策略,也可以是由AWS云平台客户创建的内联策略。

  担任角色

  可以被分配多个访问策略或为多个应用程序服务的角色,使“最小权限”的旅程更具挑战性。

  以下有几种情况说明了这一点。

  (1)单个应用程序–单一角色:应用程序使用具有不同托管和内联策略的角色,授予访问Amazon ElastiCache、RDS、DynamoDB和S3服务的特权。如何知道实际使用了哪些权限?一旦完成,如何正确确定角色的大小?是否用内联策略替换托管策略?是否编辑现有的内联策略?是否制定自己的新政策?

  (2)两个应用程序–单一角色:两个不同的应用程序共享同一角色。假设这个角色具有对Amazon ElastiCache、RDS、DynamoDB和S3服务的访问权限。但是,当第一个应用程序使用RDS和ElastiCache服务时,第二个应用程序使用ElastiCache、DynamoDB和S3。因此,要获得最小权限,正确的操作将是角色拆分,而不是简单地调整角色大小。在这种情况下,作为第二步,将在角色拆分之后进行角色权限调整。

  (3)当应用程序使用的角色没有任何敏感权限,但该角色具有承担其他更高特权角色的权限时,就会发生角色链接。如果权限更高的角色有权访问Amazon ElastiCache、RDS、DynamoDB和S3等各种服务,那么如何知道原始应用程序实际上正在使用哪些服务?以及如何在不中断其他可能同时使用第二个更高权限角色的应用程序的情况下限制应用程序的权限?

  一种称为Access Advisor的AWS工具允许管理员调查给定角色访问的服务列表,并验证其使用方式。但是,只依靠Access Advisor并不能解决访问权限与解决许多策略决策所需的各个资源之间的问题。为此,有必要深入了解CloudTrail日志以及计算管理基础设施。

  云中的最小权限

  最后需要记住,只涉及原生AWS IAM访问控制。将访问权限映射到资源时,还需要考虑几个其他问题,其中包括间接访问或应用程序级别的访问。

  正如人们所看到的,对于许多组织而言,在云中强制实施最小权限以最小化导致数据泄露或服务中断的访问风险可能是不可行的。通过使用软件来自动化监视、评估和对所有身份(用户、设备、应用程序等)的访问权限进行调整正确大小的新技术正在弥合这种治理鸿沟,以消除风险。了解如何云中实现最小权限的同时,也可以关注阿里云短信套餐包3分/条!短信推广营销企业必买。

相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
相关文章
|
4月前
【Azure 云服务】指标哪去了?在执行 Swap (交换生产部署和Staging部署) 操作后看不见云服务的旧指标
【Azure 云服务】指标哪去了?在执行 Swap (交换生产部署和Staging部署) 操作后看不见云服务的旧指标
|
安全 区块链 数据安全/隐私保护
带你读《自主管理身份:分布式数字身份和可验证凭证》——第2章 自主管理身份的基本组成部分
带你读《自主管理身份:分布式数字身份和可验证凭证》——第2章 自主管理身份的基本组成部分
带你读《自主管理身份:分布式数字身份和可验证凭证》——第2章 自主管理身份的基本组成部分
|
编译器 程序员 C语言
边界访问的空间权限
边界访问的空间权限
74 0
|
安全 物联网 区块链
带你读《自主管理身份:分布式数字身份和可验证凭证》——序
带你读《自主管理身份:分布式数字身份和可验证凭证》——序
|
存储 物联网 区块链
带你读《自主管理身份:分布式数字身份和可验证凭证》——译者序
带你读《自主管理身份:分布式数字身份和可验证凭证》——译者序
|
设计模式 架构师 网络安全
带你读《自主管理身份:分布式数字身份和可验证凭证》——关于本书
带你读《自主管理身份:分布式数字身份和可验证凭证》——关于本书
|
存储 运维 Linux
RH236构建可信存储池
RH236构建可信存储池
280 0
RH236构建可信存储池
|
运维 安全 数据安全/隐私保护
使用管控策略,设定多账号组织全局访问边界
企业上云多账号架构中,如何做到从上到下管理的同时,处理好员工的权限边界问题?
5008 0
|
存储 安全 文件存储
企业用户多账号合并之存储迁移集中
本文介绍使用在线迁移服务,将分布在各个云账号中的对象存储、文件存储数据集中到一个 账号的对象存储或文件存储下。
企业用户多账号合并之存储迁移集中