最后更新于2023年6月13日星期二17:09:32 GMT

在现代云环境中, 角色和权限不仅分配给人类用户, 但是对于机器来说, 资源及服务, 也。. 云环境的大规模导致团队可能管理数百万个不同的身份. 结果是, 安全团队经常努力实现和管理访问策略,以平衡其组织网络的完整性和安全性, 用户和数据与他们在开发和DevOps团队中的同行的效率和有效性.

理想情况下,团队的工作是强制执行 最低权限访问 (LPA)策略,侧重于将访问和特权限制为只允许给定用户访问和特权的策略, 资源或服务需要完成各自的工作,仅此而已. 在很多情况下,这说起来容易做起来难, 因为为任何给定的帐户或资源一致地确定正确的权限级别是非常困难的. 在云计算中变化很快, 特别是当您管理以每分钟为单位上下旋转的容器化工作负载时. 不需要花太多时间就能偏离规定,并赋予过度宽松的角色.

识别过度宽容的角色和过度的特权

有无数种方式可以授予各种用户和资源过多的权限, 特别是当你考虑到这些环境的规模时. 当开发团队准备工作负载时, 需要什么类型的权限并不总是很清楚. 类似的, 当您不确定新用户长期需要哪些权限时, 如果用户将来可能需要这些权限,那么过度配置这些权限可能会更方便.

然而, 很容易忘记回去调整这些政策,当它们变得很明显不是所有需要的时候. 结果是你现在得到了一个实体, 他们将来应该妥协吗, 可能会产生广泛的影响从而增加爆炸半径和缺口的影响.

在开发过程中不产生摩擦的情况下解决这个问题, 您需要一个解决方案,它可以持续监控您的云身份及其相应的权限,并在这些权限不一致时自动调整这些权限. 要做到这一点, 您选择的解决方案需要能够建立正常活动的基线, 哪些可以通过在一段时间内跟踪实际活动来完成. 一旦你建立了一个底线, 您可以将“正常”活动与授予给定实体的权限关联起来,并显示可能存在的任何增量,并相应地调整权限以遵守LPA.

我们很高兴在Rapid7的InsightCloudSec中介绍与身份相关的风险管理和补救的下一个进展:身份分析.