返回文章列表
玄貓(BlackCat)

雲端安全許可權管理與實踐策略

本文探討雲端身份與許可權管理(CIEM)的重要性與最佳實踐,並解析雲端身份與存取管理(CIAM)、雲端安全態勢管理(CSPM)以及雲端工作負載防護平台(CWPP)等關鍵雲端安全解決方案,同時比較單一租戶和多租戶 SaaS 架構的安全性、

雲端安全 身份與許可權管理
CIEM CIAM CSPM CWPP CASB 多租戶

隨著企業上雲趨勢日益普及,雲端安全已成為企業防禦策略的重中之重。傳統的本地佈署安全方案已無法滿足雲端環境的動態需求,因此,CIEM、CIAM、CSPM 和 CWPP 等雲端安全解決方案應運而生。這些方案各有側重,CIEM 專注於雲端許可權的精細化管理,CIAM 關注消費者身份的管理,CSPM 旨在識別雲端組態異常和合規風險,而 CWPP 則以工作負載為中心,提供全面的安全防護。同時,SaaS 架構的選擇也至關重要,單一租戶和多租戶架構在安全性、自定義能力和變更控制方面各有優劣。此外,人工智慧的應用也為雲端安全帶來了新的可能性,它可以輔助安全分析師更有效地檢測威脅並應對安全事件。

雲端身份與許可權管理(CIEM)的重要性與最佳實踐

隨著數位轉型戰略的勢頭增強,雲端環境的使用已經超出了傳統本地佈署的特權存取管理(PAM)和身份存取管理(IAM)解決方案的基本能力。這些傳統解決方案從未被設計用來管理雲端及其動態資源。雲端身份與許可權管理(CIEM)正迅速成為管理雲端身份的必備解決方案,與PAM並駕齊驅。

CIEM 的優勢

CIEM 提供了一個全新的解決方案類別,完全在雲端構建,專為雲端設計,使組織能夠即時發現、管理、監控許可權,並跨多個雲端基礎設施(包括混合環境)為每個身份建模行為。該技術旨在當檢測到風險或不當行為時提供警示,並為任何雲端基礎設施強制執行最小許可權原則,且具備自動化變更政策和許可權的功能。

主要優勢包括:

  • 提供多雲環境中身份管理的統一和標準化檢視,允許對許可權和授權進行精細監控和組態。
  • 自動化流程確保所有存取都是適當的,無論工作流程的狀態如何。
  • 邏輯上列舉不同雲端之間的差異,並提供授權的單一檢視,以及強制執行最小許可權的可行指導。
  • 當與相鄰的特權存取管理解決方案結合使用時,可以統一管理秘密、密碼、最小許可權和遠端存取,確保任何授權或許可權的差距得到解決,並且存取被調整到符合使用案例/需求。

CIEM 最佳實踐

以下是 CIEM 解決方案可以幫助您解決的一些雲端安全最佳實踐:

  • 帳戶和授權發現:CIEM 實施應清點所有身份和授權,並適當地對其進行分類別。這是在即時進行的,以調整雲端環境的動態特性和雲端資源的短暫特性。
  • 多雲授權調解:隨著工作負載跨雲端環境擴充套件,組織必須調解帳戶和授權,並識別哪些是每個雲端所獨有的,哪些是共用的,使用統一模型簡化管理。
  • 授權列舉:根據發現的資訊,可以按授權型別、許可權和使用者報告、查詢、審核和管理授權。這允許根據目標和根據身份和授權的分類別來轉換資訊。
  • 授權最佳化:根據即時發現,操作性使用授權有助於分類別過度組態,並根據經驗使用情況識別哪些身份可以最佳化為最小特權存取。
  • 授權監控:即時發現還提供了識別身份和授權任何變更的能力,從而提供警示和檢測不當變更,這些變更可能會對環境、流程和資料造成負擔。
  • 授權補救:根據所有可用資料,CIEM 可以推薦並在大多數情況下完全自動化刪除違反既定政策或需要補救以強制執行最小許可權原則的身份和相關授權。

CIEM 架構

典型的 CIEM 解決方案採用如圖 7-4 所示的架構進行佈署。

主要 CIEM 元件包括:

  • 根據 API 的聯結器,用於列舉每個雲端例項和供應商的身份和授權。
  • 用於儲存當前和歷史身份、授權和補救政策的資料函式庫。

雲端身份與存取管理(CIAM)解析

雲端身份與存取管理(CIAM)是身份存取管理(IAM)市場的一個子集,主要專注於管理需要存取企業網站、雲端門戶和線上應用程式的客戶身份。與內部IAM不同,CIAM的目標是讓服務的使用者自行管理其帳戶、個人資料以及與其他組織分享的資訊。

CIAM的核心價值

CIAM的實作融合了安全、客戶體驗和資料分析,不僅保護敏感資料免於被濫用或外洩,同時也符合區域性資料隱私法規的要求。相較於傳統內部佈署的IAM方案,CIAM具備高度可擴充套件性,能夠支援數百萬個身份,且原生支援雲端功能。

選擇CIAM供應商的六大關鍵要求

  1. 可擴充套件性:CIAM方案必須能夠擴充套件以支援大量使用者,尤其是在消費者實施的情況下。可擴充套件性是CIAM的基本要求,以確保在高交易負載下系統仍能正常運作。

    內容解密:

    • 此圖示展示了CIAM系統在面對使用者數量成長時的反應。
    • 可擴充套件性確保系統能夠在使用者數量增加時保持穩定運作。
    • 圖中節點A代表初始使用者數量,節點B表示使用者數量的成長,節點C為是否具備可擴充套件性的判斷點。
    • 若具備可擴充套件性(節點D),系統能夠支援大量使用者;反之,則可能導致系統當機或效能下降(節點E)。

  2. 單一登入(SSO):SSO允許使用者在一次驗證後自動登入多個應用程式,提高了使用者的便利性和安全性。

  3. 多因素驗證(MFA):MFA透過在驗證過程中加入額外的屬性來降低單一因素驗證的風險。常見的MFA方法包括簡訊PIN碼、專用MFA行動應用程式、生物特徵驗證等。

    def authenticate_user(username, password, mfa_code):
    # 首先驗證使用者名稱和密碼
    if verify_credentials(username, password):
        # 然後驗證MFA程式碼
        if verify_mfa_code(mfa_code):
            return True
    return False

    內容解密:

    • 此程式碼片段展示了一個簡單的多因素驗證流程。
    • authenticate_user函式接收使用者名稱、密碼和MFA程式碼作為輸入。
    • 首先,函式呼叫verify_credentials來檢查使用者名稱和密碼是否正確。
    • 若憑證正確,則進一步呼叫verify_mfa_code來驗證MFA程式碼。
    • 只有當兩者都驗證成功時,函式才傳回True,表示使用者驗證成功。

  4. 身份管理:集中式的身份管理能夠消除資料孤島,簡化資料治理,並提高安全性和合規性。

  5. 安全與合規:CIAM方案必須滿足諸如GDPR和CCPA等資料隱私法規的要求,包括提供使用者資料副本、稽核記錄、適當的安全措施等。

  6. 資料分析:CIAM提供對使用者行為和資料使用情況的整合分析檢視,有助於企業深入瞭解客戶需求並最佳化服務。

雲端安全管理:強化企業防禦策略

隨著雲端運算的普及,企業對於雲端安全的需求日益增加。雲端安全已成為企業防禦策略中的重要一環,特別是在面對日益複雜的威脅環境時。本篇文章將探討兩種關鍵的雲端安全解決方案:雲端身份存取管理(CIAM)與雲端安全態勢管理(CSPM),以及雲端工作負載防護平台(CWPP),並分析它們如何幫助企業強化防禦策略。

雲端身份存取管理(CIAM)

CIAM是一種專注於管理消費者身份的解決方案,旨在提供一個統一的身份檢視,無論這些身份是來自內部系統還是外部來源。透過集中管理消費者身份,企業能夠更好地遵守資料隱私法規,同時提高客戶體驗和業務洞察力。CIAM的優勢包括:

  • 集中式身份管理:提供對消費者身份的單一檢視,簡化管理和提高安全性。
  • 自動化和分析:驅動個人化體驗,提高客戶留存率,並提供對消費者趨勢的深入洞察。
  • 競爭優勢:當與其他變數相關聯時,消費者資料可以成為企業的重要競爭優勢。

雲端安全態勢管理(CSPM)

CSPM是一種旨在識別雲端組態異常和合規風險的解決方案,無論是在何種型別的雲端佈署中。CSPM解決方案透過實時監控雲端基礎設施,以識別根據錯誤組態、漏洞和不當加固的風險、威脅和洩露指標。其主要功能包括:

主要特點:

  • 自動檢測和修復:實時或近實時地檢測和修復雲端錯誤組態。
  • 最佳實踐目錄:提供不同雲端服務提供商的最佳實踐參考,包括如何使用原生或第三方建議進行加固。
  • 合規框架對映:將目前的執行時和靜態組態對映到已建立的合規框架和資料隱私法規。
  • 監控和報告:監控儲存桶、加密、帳戶許可權和授權,並根據合規違規和實際風險報告發現結果。
  • 漏洞檢查:檢查環境中是否存在公開披露的作業系統、應用程式或基礎設施漏洞。
  • 檔案完整性監控:監控敏感檔案,以確保它們未被篡改或洩露。

CSPM工具透過減少潛在的攻擊向量,在保護雲端環境中發揮著至關重要的作用。然而,需要注意的是,一些CSPM工具可能特定於某個雲端服務提供商,因此在選擇時需要考慮跨雲環境的支援。

雲端工作負載防護平台(CWPP)

CWPP是一種以工作負載為中心的雲端安全解決方案,專注於保護雲端中的工作負載和現代企業雲及多雲環境中的自動化。隨著雲端工作負載從物理伺服器和虛擬機器演進到容器甚至無伺服器程式和程式碼,CWPP提供了一種全面的防護策略。

演進與必要性:

圖7-5展示了計算資源從本地到雲端和無伺服器環境的演進。這種演進使得CWPP成為了一種必要的解決方案,以應對日益複雜的雲端威脅。

內容解密:

本章節探討了CIAM、CSPM和CWPP三種關鍵的雲端安全解決方案。這些技術不僅幫助企業提高其安全性,還能增強客戶體驗並提供業務洞察力。透過瞭解這些解決方案的功能和優勢,企業可以制定更有效的雲端安全策略,從而在日益複雜的威脅環境中保持競爭力。

雲端工作負載防護平台(CWPP)與雲端原生應用防護平台(CNAPP)解析

CWPP:雲端工作負載防護的核心價值

在雲端運算的快速發展下,企業面臨著越來越複雜的安全挑戰。雲端工作負載防護平台(CWPP)是專門為保護雲端工作負載而設計的安全解決方案。CWPP 的主要目標是確保無論工作負載位於私有雲、公有雲還是混合雲環境中,都能獲得全面的安全防護。

工作負載的多樣性與挑戰

現代企業的工作負載可能包含各種形式,從傳統的虛擬機器到無伺服器架構(Serverless)。這些工作負載可能分散在不同的雲端環境中,並且可能具有不同的生命週期,例如永續性、非永續性或短暫性的工作負載。這種多樣性為安全管理帶來了巨大的挑戰。

CWPP 的關鍵功能

  1. 全面的可視性:CWPP 能夠發現並監控所有已佈署的工作負載,無論它們位於何處。
  2. 安全防護:提供漏洞管理、惡意軟體防護、身份管理等全面的安全功能。
  3. 適用於混合環境:能夠保護跨越多個雲端和本地環境的工作負載。

從 CWPP 到 CNAPP:雲端安全的進化

隨著雲端原生技術的興起,雲端原生應用防護平台(CNAPP)應運而生。CNAPP 結合了 CWPP 和雲端安全態勢管理(CSPM)的功能,提供了一種更全面的雲端安全解決方案。

CNAPP 的優勢

  1. 整合 CSPM 和 CWPP:CNAPP 將 CSPM 的組態管理和 CWPP 的工作負載防護結合起來,提供從開發到執行時的全方位保護。
  2. 更強大的安全能力:能夠掃描工作負載和組態中的漏洞,並在執行時保護工作負載。

何時選擇 CNAPP?

雖然 CNAPP 在技術上提供了更強大的解決方案,但在某些情況下,保持 CSPM 和 CWPP 分離可能更合適,例如:

  • 當獨立供應商提供獨特的功能時。
  • 需要根據角色的存取控制,以確保職責分離。
  • 當綜合解決方案不支援某些平台時。

安全挑戰與對策

企業在將工作負載遷移到雲端時,面臨著諸多挑戰,包括舊有應用程式的限制、影子 IT 的風險、安全防護的不足等。為此,企業需要重新思考其開發和發布程式碼的方式,並將安全作為首要考慮。

安全性考量

  1. 傳統安全措施的侷限性:傳統的防火牆和存取控制列表在公有雲環境中效果有限。
  2. 全方位的安全實踐:需要從漏洞管理到身份管理等全面的安全最佳實踐。

雲端安全防護的關鍵技術

雲端安全存取代理(CASB)

雲端安全存取代理(Cloud Access Security Broker, CASB)是一種雲端託管的解決方案,作為使用者與雲端服務提供者之間的安全屏障。CASB 的基本設計旨在解決 XaaS 佈署和連線到本地環境之間的安全缺口。它允許組織將現有的安全策略從本地基礎設施延伸到雲端,確保可見性和連續性,並制定新的雲端特定策略。

CASB 已成為企業安全的重要組成部分,使企業能夠安全地使用雲端服務,同時保護敏感的企業工作負載和資料。CASB 可以作為策略執行中心,整合多種安全策略執行引擎,並將其應用於雲端的任何資產。典型的 CASB 佈署是資產無關的,支援從 BYOD 到伺服器的所有資產,無論是否由企業管理。

CASB 的典型功能包括:

CASB 的主要功能

  • 根據資產和身份互動的雲端治理和風險評估
  • 資料遺失防護,包括不當的資料外洩
  • 對雲端服務原生功能的控制,例如某些解決方案中的標準功能,如協作和共用
  • 根據網路流量模式的威脅防護
  • 使用者行為分析(UBA)以識別和阻止不當行為
  • 整個系統的組態監控和稽核
  • 惡意軟體偵測和入侵防護
  • 資料加密和所有通訊路徑的金鑰管理
  • 單一登入(SSO)和身份存取管理(IAM)整合,以促進適當的身份驗證
  • 上下文存取控制和最小許可權存取

隨著數位轉型繼續主導企業計畫,在這些環境中支援可見性和控制對於滿足合規要求、保護資產免受雲端攻擊向量侵害以及允許受信任的身份安全地使用雲端服務至關重要。

人工智慧(AI)在資安上的應用

人工智慧(Artificial Intelligence, AI)和機器學習(Machine Learning, ML)已成為解決複雜資訊安全問題的流行解決方案。AI 是一種允許資產以類別似生物學習使用演算法的方式取得智慧的方法。AI 技術可以從與情況和事件的重複互動中學習,以開發相關性和預測當前和未來行為的相關性。人工智慧演算法可以從資料序列中辨別資訊,而無需依賴預先確定的關係或特徵。

AI 與 ML 的區別

AI 不應與機器學習混淆。機器學習實際上是 AI 的一個子集,其中演算法已為特定的資料型別和預期輸出預先定義。機器學習最好被描述為人工智慧中的固定演算法,可以學習和假設,而真正的 AI 則是更進一步地開發新的演算法來分析資料。

AI 的優勢

AI 更類別似於人類在沒有先前參考框架的情況下學習新行為。因此,人工智慧更與解釋所學資訊以驅動結論或做出決策相關聯,而機器學習必須已經意識到正在處理的資料範圍才能有效地運作。因此,許多機器學習實作是人工智慧應用專案的一部分,或是在完全理解結果後進行的後續思考,以便更好地建模以提高效率。

雲端安全中的人工智慧應用與多租戶架構考量

在現代資訊網路中,由於資料量龐大,人工智慧(AI)成為輔助人類分析安全事件和識別潛在威脅的重要工具。面對海量的原始安全事件資料,人類分析能力有限,而AI可以有效地檢測雲端攻擊、評估身份行為、分析漏洞和暴露,並關聯已知和潛在的攻擊策略,從而提供有價值的安全洞察。

AI在雲端安全中的價值

AI在雲端安全中的應用尤其在行為不可預測、身份和流程短暫的情況下,展現出其獨特的優勢。它能夠建立異常評估的基礎,並結合其他外部資訊源,提供相關的威脅評估結果。AI透過持續分析,不斷強化或弱化初始建立的關聯,從而提高威脅檢測的準確性。

AI輔助雲端安全分析的優勢

  • AI能夠在關鍵時刻過濾掉無關事件,減少資料集,使安全分析師專注於真正需要處理的問題。
  • 在危機情況下,AI可以減少壓力,降低錯誤率,避免因情緒影響而導致的誤判。
  • AI可以自動化重複性工作,提高安全分析師的工作效率。
  • AI能夠減少因處理大量相關資料、事件和警示而導致的分析師倦怠。
  • AI可以檢測高階持續性威脅(APT),並在受控環境中自主執行,從而釋放安全分析師處理更重要的任務。
  • 隨著AI技術的成熟,它可以處理整個類別的安全事件,減少對人工干預的依賴。

單一租戶與多租戶架構的比較

在選擇雲端軟體即服務(SaaS)解決方案時,企業面臨單一租戶和多租戶架構之間的選擇。單一租戶架構指應用程式不與其他例項分享後端或資料函式庫資源,每個客戶擁有獨立的執行時和資料;而多租戶架構則是多個客戶分享相同的資源,但透過邏輯隔離來保護各自的資料和組態。

多租戶SaaS解決方案的權衡

採用多租戶SaaS解決方案意味著企業需要放棄某些安全最佳實踐:

  • 變更控制:多租戶供應商控制升級和修補的時間,客戶無法自行決定升級時間,也無法回復變更。
  • 安全性:多租戶架構存在資料洩露或漏洞擴散的風險,這些風險超出了客戶的控制範圍。
  • 自定義:大多數多租戶解決方案不允許廣泛的自定義,以避免影響分享資源。

單一租戶SaaS解決方案的特點

相比之下,單一租戶SaaS解決方案提供了不同的安全性和管理特性:

  • 變更控制:客戶可以自行決定何時升級到新版本,也可以選擇跳過某些版本,但這需要自行管理變更控制流程。

單一租戶與多租戶SaaS解決方案的比較分析

在選擇SaaS(軟體即服務)解決方案時,企業通常會面臨單一租戶(Single-Tenant)和多租戶(Multi-Tenant)架構之間的選擇。這兩種架構在安全性、自定義能力以及變更控制等方面存在著顯著的差異。

安全性考量

單一租戶SaaS解決方案因為其獨佔性質,提供了更高的安全性。由於每個客戶都有自己的獨立環境,因此資料外洩的風險相對較低。然而,這種架構需要客戶自行負責安全更新和維護,就像管理本地佈署的軟體一樣。

程式碼範例:安全更新管理

import datetime

def check_security_updates(current_version, latest_version):
    if current_version < latest_version:
        print("需要更新至最新版本:", latest_version)
        # 更新邏輯
    else:
        print("目前版本已是最新")

# 假設目前版本和最新版本
current_version = "1.0.0"
latest_version = "1.1.0"

check_security_updates(current_version, latest_version)

內容解密:

  1. 上述程式碼展示了一個簡單的安全更新檢查機制。
  2. check_security_updates函式比較目前版本和最新版本,以決定是否需要更新。
  3. 如果目前版本低於最新版本,則提示需要更新,並可進一步執行更新邏輯。

自定義能力

單一租戶SaaS解決方案提供了更高的自定義能力,因為任何變更都不會影響到其他租戶。然而,這也意味著當供應商發布新版本時,自定義變更可能會與新版本不相容。因此,客戶需要在升級前進行充分的測試。

變更控制

在變更控制方面,單一租戶和多租戶SaaS解決方案存在著不同的挑戰。單一租戶架構允許客戶控制何時進行更新,而多租戶架構通常會自動更新至最新版本。客戶需要根據自身需求,選擇適合的變更控制策略。

網路保險與風險緩解策略

網路保險並不是主要的雲端攻擊向量緩解策略,但它是一種常見的合約要求。為了滿足網路保險的資格要求,企業需要實施適當的安全控制措施,例如:

  • 終端許可權管理
  • 特權密碼管理
  • 安全遠端存取
  • 多因素認證

風險緩解策略概覽

@startuml
skinparam backgroundColor #FEFEFE
skinparam componentStyle rectangle

title 雲端安全許可權管理與實踐策略

package "安全架構" {
    package "網路安全" {
        component [防火牆] as firewall
        component [WAF] as waf
        component [DDoS 防護] as ddos
    }

    package "身份認證" {
        component [OAuth 2.0] as oauth
        component [JWT Token] as jwt
        component [MFA] as mfa
    }

    package "資料安全" {
        component [加密傳輸 TLS] as tls
        component [資料加密] as encrypt
        component [金鑰管理] as kms
    }

    package "監控審計" {
        component [日誌收集] as log
        component [威脅偵測] as threat
        component [合規審計] as audit
    }
}

firewall --> waf : 過濾流量
waf --> oauth : 驗證身份
oauth --> jwt : 簽發憑證
jwt --> tls : 加密傳輸
tls --> encrypt : 資料保護
log --> threat : 異常分析
threat --> audit : 報告生成

@enduml

此圖示展示了風險識別與不同風險緩解策略之間的關係。