<
>

What is The Cloud?

作者:BeyondTrust的CTO和CISO 莫雷·哈伯
 
云对许多人来说意味着许多不同的事物。如果您问一个小学生“什么是云”,您可能会得到有关水循环,蒸发,冷凝和雨水的回复。如果您问气象学家,他们将解释从雨云(不要与哈利·波特飞天扫帚模型相混淆)到Stratus的所有不同类型的云。而且,更复杂的是,如果您要求技术专家,云将具有一套完全不同的定义集,从公共到私有,服务到基础架构以及下一代技术的平台。英语中没有太多的单词可以表示这么多不同的事物,并且会根据年龄,纪律和用例而引起各种各样的响应。
 
对于我们的讨论,我们将重点关注云的信息技术角度。如果深入研究,您会发现它变得更加令人困惑,尤其是当您基于安全性,资产管理,漏洞和特权等概念进行分层时。最终,信息技术安全性定义更像是一场雷暴,而不仅仅是蓝天白云。为了进一步简化对话,让我们将对话划分到另一个级别,并专注于云中的特权访问管理(PAM)。首先,云可以通过三个不同的学科来定义,每个学科都有其独特的缺陷:

  • IaaS-基础架构即服务提供虚拟化基础架构,作为整体解决方案的组件。由于IaaS资源是虚拟化的,而不是像路由器,交换机或防火墙那样物理的,因此它具有对其执行的虚拟机管理程序的管理和底层特权。这减轻了对数据中心或安全柜进行物理特权访问的需求,并给体系结构和解决方案本身带来了基于软件的特权访问风险。

  • PaaS –平台即服务提供了虚拟化的环境来托管操作系统和应用程序,而无需专用硬件。确实,大多数人都将PaaS视为“云”,但忘记了它是您的计算机在其他人的环境中运行。在那里,这是您的资源,但其他人对它的执行,运行时甚至安全性拥有最终决定权。特权是其中很大的组成部分,即使在您自己的资源内以及在同一环境中可以虚拟化的任何其他系统中,也可以防止横向移动。这就是为什么Spectre和Meltdown威胁对于虚拟化和云环境如此可怕的原因。威胁参与者可以访问另一资源的内存空间,即使该资源根据英特尔CPU的微代码中的缺陷进行了完全分割。该访问权限可能会泄露数据,密码,密钥和其他秘密,以确保您的PaaS实施安全。

  • SaaS –软件即服务通常是他人托管的应用程序或服务的按需付费模型,而不是您设置用于支持该服务的整个基础架构。从Salesforce到Office 365,典型的组织始终使用SaaS应用程序。但是,特权风险与IaaS或PaaS完全不同。由于您是在授权他人的应用程序,因此通常会有管理帐户来管理您的实例。如果这些帐户被盗用,那么您的整个应用程序可能会被滥用,滥用和提取关键数据。

尽管这绝不是一个基于云的环境可能存在的所有缺陷的完整列表,但它确实使我们回到了最初的对话中。云对不同的人意味着不同的事物,根据您的利用类型,威胁也不同。可以肯定的是,特权访问管理可以使用各种密码管理技术,最小特权模型和自动化来帮助保护每个“即服务”,即使存在漏洞并且有可能被利用。是的,在删除管理帐户并将应用程序配置为使用最低权限模型时,即使威胁“幽灵”和“崩溃”也具有有效的缓解策略。任何窃取密码的攻击都只会泄露标准用户的凭据或无法从外部资源使用的应用程序哈希。
 
因此,问题就变成了,为什么每个人都不能在云中使用PAM?简单的答案是,正如我们所讨论的,每个人根据其定义使用云的方式有所不同。因此,它成为一个教育过程,以证明特权访问管理可以解决许多风险,并帮助每个人聚在一起,使用同一解决方案和定义,无论云对他们意味着什么……唯一的例外是水循环本身。

分享我们的想法

0 Comment 登录 要么 寄存器 发表评论