共计 2450 个字符,预计需要花费 7 分钟才能阅读完成。
随着开发和交付的压力越来越大,许多企业抉择依赖第三方来帮忙经营和倒退业务。值得器重的是,第三方软件及服务供应商和合作伙伴也是云环境攻击面的重要组成部分。只管企业无奈齐全切断与第三方的关联,但能够在向他们提供进入繁多云和多云环境的权限时强制执行最小特权准则。本文将带你理解如何缓解云端业务第三方危险对企业的影响以及缓解相应危险的技巧。
第三方对云环境的影响
第三方,包含供应商、承包商、合作伙伴,甚至云提供商,都是企业业务生态系统的根本组成部分。他们从各个方面帮忙企业实现业务增长,包含从软件工程和 IT,到营销和业务倒退,再到法律和策略。而这些第三方有许多与其余第三方单干来实现本人的业务,这种环环相扣的关联模式造成了公司和网络的供应链。
然而这些第三方和供应链也在云环境中制作了微小的破绽危险。依据 IBM 的 2022 年数据泄露老本报告,19% 的泄露是由供应链受损造成的 ,而 第三方泄露的均匀总成本高达 446 万美元 。此外,与其余类型的泄露行为的寰球平均水平相比, 辨认和阻止第三方泄露均匀须要 26 天的工夫。
第三方破绽不仅与软件无关,不同、不匹配和 / 或低于组织规范的平安实际也会产生破绽。例如,某些第三方可能不重视明码平安。在其余状况下,他们可能会重复使用凭据或不小心谬误地配置了他们的环境。一旦这些第三方取得对企业供应商的拜访权限,歹意攻击者就可能很容易拜访企业环境。企业往往偏向于将单干的第三方视为受信赖的实体,因而第三方通常被授予对敏感资源的拜访和控制权。然而因为人为谬误、忽略或不理解,这些权限有时会被无意或无心地适度特权化,这时攻击者就能够利用这种信赖并毁坏企业环境。
第三方危险不同于本地危险
在云端,第三方和供应链参与者的适度信赖比外部部署环境更具危险。本地服务器和组件可能划定网络边界并施行安全控制来爱护这些边界,例如防火墙。但在云端,基础设施是分布式的并驻留在公共基础设施上,因而无奈对其进行安全控制。这意味着正在应用的安全策略和解决方案(如第三方 PAM)不再失效。
此外,云的分布式个性,以及员工工作对基于云的资源(例如,SaaS 应用程序)的依赖,曾经扭转了连贯需要。经验上云的企业当初依赖身份和凭证作为提供对公司资源的拜访的次要伎俩,使身份成为新的平安边界。同时,云曾经将许多架构从单体架构转变为微服务架构,以反对更高的开发敏捷性。这些云服务当初也须要数字身份作为其拜访资源的次要伎俩。
愈发简单的身份治理
在云端,IT、DevOps、Security 和 DevSecOps 当初治理着数量宏大的新数字组织身份,每个身份都有简单的权限子集,这些权限决定了他们能够拜访哪些资源以及他们能够对这些资源采取的操作。在身份定义平安联盟 (IDSA) 进行的 2022 年平安数字身份考察趋势中,52% 的平安专业人士认为上云是企业身份增长的驱动力。
治理和监控这些身份及其权限极其简单。大量的身份和简单的权限相结合的状况下,人为谬误变得难以避免。依据 Verizon 的 2022 年数据泄露调查报告发现凭据泄露是企业次要平安问题。依据钻研发现,勒索软件胜利的起因次要为谬误配置身份、有危险的第三方身份和有危险的拜访密钥。换句话说,第三方凭据是攻打公司和泄露其数据的重要起因,因而爱护第三方凭证须要成为安全策略的要害局部。
在云端施行第三方最小权限准则
治理和监控最小权限准则时所需的具体水平、数据范畴和决策速度要求“自动化”。企业能够通过自动化和最小特权来升高第三方危险。以下是确保自动化机制可能爱护企业免受第三方危险且权限最小的六个要点:
1. 查看不必要的第三方权限
云端的权限治理是十分复杂的。自动化的多云监控机制将查看第三方凭据是否存在过多权限或谬误组合,并通过向第三方提供拜访敏感数据和批改基础设施等能力来确定这些权限是否违反了最小特权准则。
2. 依据上下文进行监控
古代安全策略须要以上下文形式利用安全控制。对于权限,必须提供权限范畴的上下文。过多的权限,即超出最小特权准则的权限,是应该被监控和缩小的权限。主动安全控制提供了将帐户和服务标记为受信赖的机制,从而缩小了谬误警报。
3. 主动修复第三方破绽
数量宏大的警报会让开发、IT 和平安团队陷入疲劳,因而应用自动化解决方案十分必要。自动化解决方案能够提供举荐策略并在企业的工作流程中主动修复,甚至能够通过 IaC 左移优化策略,只留下一些关键问题让相干团队来判断和解决,从而无效缩小解决大量警报的工夫。
4. 设置权限门槛
通过设置权限门槛来限度不同身份能够执行的操作,这有助于通过限度用户能够做什么的后劲来最小化危险。设置自动化权限门槛对于第三方来说尤为重要,因为 IT 团队通常会因为单干关系更容易为他们提供过多的拜访权限或间接承受云供应商的默认配置,而不去深入研究并弄清楚如何限度他们的权限他们理论须要的资源。
5. 确保应用便利性
请确保自动化解决方案的繁难应用性。将自动化解决方案集成到开发及平安团队的工作流程中,通过与容易了解的仪表盘、清晰的阐明和 CI/CD 流水线相结合,让第三方身份治理变得更简略便捷。
6. 交付 JIT 拜访
JIT(Just-In-Time 即时)拜访是一种平安准则,在无限的工夫内为用户提供拜访权限,而后将其撤销。JIT 在用户须要许可权力来实现特定工作时很有用,例如当开发人员须要修复生产中的谬误时。平安的自动化解决方案也将反对第三方的 JIT 拜访。这样,如果供应商须要拜访敏感环境以解决与工作相干的重要问题,企业能够为他们提供此类拜访权限,而不会给攻击者可乘之机。
论断
从业务角度来看,第三方与任何外部部门一样都是企业业务的一部分。但从平安角度来看,须要无意识地和策略审慎地区分这些主体。企业无法控制第三方的安全策略,因而存在着微小的平安危险。要治理这类破绽,能够 通过强制执行最小权限和 JIT 拜访的自动化平安解决方案,自动化权限治理和监控通过仅向第三方(包含开发人员)调配他们须要的拜访权限来升高拜访危险。这将是均衡和保障云端业务连续性和安全性的无效形式。