如何处理云端特权用户管理?

很多企业正在试图保护员工使用的各种云应用和服务中的用户账户,这样做是因为:攻击者越来越多地通过钓鱼攻击和路过式下载等方式获取云账户和登录凭证,以试图获取对企业IT环境的访问权限。虽然企业已经非常注意保护用户账户,但一旦根级和管理级账户被泄露,企业可能面临非常严重的后果。

例如,考虑一下Code Spaces的情况,其亚马逊云计算服务(AWS)管理门户在2014年遭到攻击。在攻击者获得访问权限后,该公司的整个基础设施被暴露,这最终导致该公司倒闭。那么,企业应该如何保护与其环境相关的特权账户以及部署强大特权用户管理呢?

在大多数基础设施即服务(IaaS)云中,主要有几种形式的管理或根级访问。在默认情况下,IaaS环境要求创建用户账户作为初始管理员,该账户通常是通过用户名或电子邮件以及密码来进行身份验证。这个初始管理员可配置环境,并创建新用户和组。用户目录(例如微软的Active Directory)也可链接到云访问,从而基于内部角色向很多管理员提供云访问。很多IaaS系统镜像或模板还包含具有特权的默认用户账户。在AWS机器镜像中,此用户是“ec2-user”。

基本特权用户管理概念

首先,企业需要重新审视特权用户管理的核心概念,这包括职责分离和最低权限访问模型。很多云服务提供商包含内置身份和访问管理工具,允许为每个用户和组创建不同的政策。这允许安全团队帮助设计特权政策,让管理员只能执行其角色绝对需要的操作。

对于不支持细粒度角色和特权模型的云服务提供商,可通过使用身份即服务提供来实现,提供商可在内部凭证存储和云服务提供商环境之间传输身份信息,同时作为单点登录门户。

此外,企业应该对所有云环境的特权用户访问强制性使用多因素身份验证,这可能会阻止对Code Spaces控制台的初始攻击。很多提供商提供多种不同形式的多因素访问,包括终端上的证书、多因素提供商的硬和软令牌以及短信代码--这些代码不够安全,但仍然比什么都没有要强。

理想情况下,拥有管理器权限的用户将使用受批准的多因素方法来访问管理控制台,以及所有类型云环境中的敏感资产和服务。对于大多数企业,软令牌和证书被证明是特权用户管理中最可行和最安全的选择。

最后,控制管理和根级访问的关键方面是通过管理和监控密钥来执行。大多数管理员账号(特别是那些内置到默认系统镜像的账户,例如亚马逊的ec2-user)需要使用私钥进行访问。这些密钥通常在创建用户时生成,或者可独立生成,并且必须受到严格控制以防止对任何账户的非法访问,特别是管理员或根级用户。

作为特权用户管理的一部分,安全和运营团队应该确保密钥在内部以及云中受到安全保护,理想情况下,密钥应该放在硬件安全模块或者其他专用于控制加密密钥的高度安全平台中。当开发人员需要整合密钥到其部署管道时,应该利用工具来保护这些敏感信息,例如Ansible Vault或者Chef加密数据包。

为了确保这些特权账户不会被滥用,安全团队应该收集和监控云环境中可用的日志,以及使用AWS Cloudtrail等内置工具或者商业日志和事件监控工具及服务。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2016-12-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏廖念波的专栏

谈谈后台服务的 RPC 和路由管理

互联网服务的后台,硬件通常是由大量的廉价机器组成,软件架构通常采取大系统小做、分而治之的思想。这就决定了业务逻辑涉及到大量的网路IO,同时单机故障、网络局部故障...

2.7K0
来自专栏FreeBuf

魔兽世界中招:一条命令行就能劫持你的游戏!

最近出现了一种涉及社工技术的新型游戏攻击骗局,攻击者利用了魔兽世界(World of Warcraft,WoW)游戏插件中一个隐藏的功能。 新型攻击 想象一下这...

4878
来自专栏腾讯移动品质中心TMQ的专栏

QQ 浏览器测试左移实践

测试左移: 通俗的说即将测试行为放入软件开发周期的较早阶段进行,不局限于软件提测后再介入测试。

1910
来自专栏机器人网

Python很火,最受欢迎的 7 种编程语言在商用情况?

Elixir Elixir 是一个相当年轻的语言,自然几乎所有的项目都是基于最新版本的。40% 的项目使用的是今年发布的Elixir 1.4 及以上版本,该版本...

3753
来自专栏FreeBuf

PHP两版本大限将至,全球近七成网站需紧急更新

作为最受欢迎的服务器端语言,PHP 各版本已经被全球近8成的网站采用。而根据PHP 给出的各版本的生命周期,2019年1月1日开始,PHP 5 最后一个版本 5...

2464
来自专栏CSDN技术头条

Uber是如何通过Mesos和Cassandra实现跨多个数据中心每秒100万的写入速度的?

每隔三十秒就会有位置数据返回,包括来自于司机和乘客应用的各类数据,需要实时使用的实时数据非常之多,那么Uber是如何存储这些位置数据的呢? Uber的解决方案非...

2289
来自专栏Java进阶干货

大型分布式网站架构技术总结:高性能+高可用+可扩展+可伸缩架构

集群:一个应用/模块/功能部署多份(如:多台物理机),通过负载均衡共同提供对外访问。

3613
来自专栏应用案例

USB设备无法识别怎么办怎么数据恢复

usb接口设备在我们生活中非常普遍,比如我们常见的USB鼠标,usb键盘,usb音箱,U盘等等,但使用usb设备也会伴随着各种各样的问题发生,如常见的usb无法...

1985
来自专栏Golang语言社区

不只是Web:十大令人振奋的Node.js项目

除了在Web服务器领域大展拳脚之外,Node.js同样也在无处不在的JavaScript应用程序创建当中散发出耀眼的光芒。 ? Node.js:不只是网站 就在...

5835
来自专栏ytkah

firefox查看微信公众平台的数据分析时就出现不信任链接怎么办?

  昨天用360清理垃圾后火狐主页的快速拨号栏消失了,整了半天还是无法使用就重装了一下firefox,导入备份的书签,添加自己所需的附加组件,设置为隐私模式,开...

3564

扫码关注云+社区

领取腾讯云代金券