云原生账号安全管控
发布时间:2021-11-25 14:03:57 所属栏目:云计算 来源:互联网
导读:一、业务需求 在公有云建设早期,账号安全管理主要是依赖云自身的管理。等到公有云建设中期的时候,公有云可以通过云产品基线对账号系统进行检查,例如:云主账号开启双因素认证,密码策略轮换,监控AK泄露等安全相关的基线来完成监督。主机层面会使用主机
|
一、业务需求 在公有云建设早期,账号安全管理主要是依赖云自身的管理。等到公有云建设中期的时候,公有云可以通过云产品基线对账号系统进行检查,例如:云主账号开启双因素认证,密码策略轮换,监控AK泄露等安全相关的基线来完成监督。主机层面会使用主机安全基线做账号以及密码相关的检查。但是,我们会发现云端管理好用户特权账号,只是账号安全管理生命中的一小部分,很多特权账号散落在用户登录云管端的笔记本电脑中,很多开发期间的应用程序连接账号密码都硬编码到了配置文件等地方…,特权账号使用静态密码,对账号缺乏有效的管理、监控、企业很容易遭受攻击,同时很多合规检查也要求对企业特权账号要监督。 无法可视化管理,很难知道有多少账号资产以及谁在使用。 很难保障特权密码的安全性。 无法看到谁在用那个账号做什么,没法控制特权账号的权限。 二、云原始账号管理解决方案 首先要自动扫描、定位所有账号,对账号管理有一个全面的了解。使用密码保管库统一管理账号,同时通过代理登陆的方式对账号操作进行记录,最终分析出账号异常使用情况。 我们先假定一个用户场景,大约有200台云主机、100台docker,管理这些特权帐户的安全是一项复杂的工作,跟踪所有的变更,确保每台服务器ssh key 部署是经过审批的,并记录下来以便进行长期分析和审计。 1. 账号扫描引擎 需要在云主机本地部署主机安全Agent全盘收集用户账号信息,以及散落在角落中的ssh key等信息,(依赖关系,创建日期)。 扫描应用系统,查看是否存在应用程序脚本、配置文件和软件代码中的硬编码凭证。 通过客户端登陆程序扫描登陆云主机的终端是否存在业务系统的key或者账号密码。 2. 企业级密码保管库 (1) 通过web控制台,管理员可以通过REST API 设置建立初始化账号策略(例如:设置策略以建立凭证强度以及轮换频率、共享账号策略)。 (2) 通过账号代理程序,细粒度的控制特权访问,存储访问记录。 (3) 提供账号使用合规报告。 账号最小权限分析报告。 账号使用范围可视化报告。 账号审计报告。 3. 账号威胁分析 分析引擎对用户、实体和网络流量运行多种复杂的专用算法(包括确定性算法和基于行为的算法),针对攻击者会假冒成授权内部用户,实时发现攻击并自动做出响应,以便在整个攻击生命周期的早期发现攻击迹象。通过尽早发现攻击,安全团队就有了更多宝贵时间来在造成业务中断之前终止攻击。 与SIEM解决方案的双向集成**使安全团队可以利用现有的SIEM部署来汇总数据,进行有针对性的分析,并发出预警来为涉及特权账户的事件分配优先级。 (编辑:滁州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
