地  址:江苏省南京市玄武区玄武湖
电  话:4008-888-888
邮  箱:9490489@qq.com
商  务QQ:4163305195
360免费自助建站:怎么在云中办理特权用户治理问题
作者:管理员    发布于:2020-06-02 15:37   文字:【】【】【
怎么在云中办理特权用户治理问题 关于在云中进行操作的企业来说,特权用户治理黑白常重要的。专家Dave Shackleford在本文中先容了一些最佳做法以协助包管云拜访管束的平安性。

关于在云中进行操作的企业来说,特权用户治理黑白常重要的。专家Dave Shackleford在本文中先容了一些最佳做法以协助包管云拜访管束的平安性。

大量企业正试图针对他们雇员所利用的各种云应用和效劳来包管用户账户的平安性,其间的缘故原由很正当:愈来愈多的攻打者经过诸如网络垂钓攻打和驱动下载等办法将云账户和登陆把柄当做攻打方针,以求取得拜访企业数据的权限。尽管企业用户现已十分注意对用户账户的包庇,可是如果root账户和治理员账户被攻破,那么所带来对企业的破坏性影响将是更为惊人的。

例如,让大家来看看Code Spaces的例子,这家公司的亚马逊网络效劳(AWS)治理流派是在2014年被入侵的。一旦攻打者进行拜访,公司的整个根底设备架构就赤裸裸地败露在攻打者面前,这最终导致了企业的关闭。那么,企业用户该当怎么包庇与其环境相关联的特权账户,并施行强壮的特权用户治理呢?

在大大都的根底设备即效劳(IaaS)云中,存在着若干种情势的治理员拜访或root拜访。在默许状况下,IaaS环境需要体系创立一个不凡的用户账号当做初始治理员,这个不凡帐户通常仅经过用户名或者带有密码的电子邮件进行身份验证。而后,这个初始治理员账户就能配置环境并创立新的用户和组。诸如微软公司Active Directory之类的用户目录也可被链接至云拜访权限,从而依据企业内部人物向浩瀚的治理员提供云拜访权限。大量IaaS体系影象或模板也都包含了一个默许的用户账户,这个账户领有相应的特权。在AWS Machine Images中,这个默许的用户账户就是 ec2-user 。

特权用户治理的根本概念

起首,企业组织该当从头审视特权用户治理的核心概念,其间包含了责任分离和最低权限拜访模式。大量云供给商都提供了内置的身份验证和拜访治理东西,这些东西允许用户组织依照实践需要为每个用户和事件组创立差别的策略。这就让平安团队可以协助设计出契合最低特权原则的策略,即依据用户的人物差别而赋予差别用户可以执行其操作所肯定必需的权限。

关于在其应用内部不支撑粒度人物和特权模式的云供给商,也许能够经过利用一个身份验证即效劳供给商来达成这一意图,这个供给商将在内部凭证存储和云供给商环境之间代办身份认证信息,它同时也可用作一个单点登录流派。

关于拜访云环境的所有特权用户账户而言,利用多重因素身份验证方式该当是强制性执行的一项措施,这一强制性措施原来彻底能够避免歹意攻打者对Code Spaces管束的初始侵害。大量供给商都提供了各种百般差别情势的多重因素拜访办法,其间包含了最终用户端点证书、来自当先多重因素解决方案供给商的软硬令牌、以及SMS代码等 尽管这些办法的平安性都不尽同样,但总是聊胜于无的。

在理想状况下,领有治理员特权的所有效户都应在所有类型云环境中利用一个已获同意的多重因素办法来拜访治理管束台和任何别的敏感IT资产或效劳。关于大大都企业用户而言,软令牌和证书一定会在实际中被证实是特权用户治理中最可行且最平安的选项。

最后,管束治理员拜访和root拜访的一个要害方面就是它们都是经过加密密钥的治理与监控来完成的。大大都的治理员账户(尤其是那些默许体系影象中内置的治理员账号,例如亚马逊实例中的ec2-user)都是需要利用私钥来进行拜访的。这些密钥一般都是在创立用户时生成的,或者也能够独立生成密钥,用户该当十分当心地做好密钥治理以避免任何对账户的不合法拜访,其间尤其是治理员账户或root用户账户。

当做特权用户治理中的一局部,平安与运转团队该当包管密钥在企业内部以及在云的平安性,理想状况下该当将密钥保存在一个硬件平安模块中或者别的专门用于管束加密密钥的高度平安平台中。需要将密钥集成至布置渠道的开发人员还该当利用工程设计的成熟东西来包庇这一敏感信息,例如Ansible Vault 或 Chef加密数据包。

为了包管特权用户账户不被滥用,平安团队该当在云环境中搜集和监控可用的日志,并利用诸如AWS CloudTrail之类的内置东西或商用日志记载和工作监控东西与效劳。

Copyright © 2002-2020 网页制作流程_美国免费建站平台_网站制作维护_瑞蚁免费建站_免费个人网页制作 版权所有 (网站地图
地址:江苏省南京市玄武区玄武湖 电话:4008-888-888
邮箱:9490489@qq.com QQ:4163305195