缩小云权限差距以实现零信任：AWS风险评估

无论是适应远程工作，改进创新还是建立敏捷团队，组织都会出于各种原因而继续优先考虑数字化转型。而且，尽管数字化转型战略从商业上带来了很多好处（从提高生产力到解锁新功能的工具），但企业也必须减轻云基础架构的重大安全风险，以充分利用其投资。

组织还必须谨慎地将对数字转型的重视与零信任联系在一起。零信任模型的主要支柱是限制过多用户权利的能力。然而，在云中，当云服务提供商添加新服务和权限，以如此快的速度发展并试图了解每天成千上万的权限的复杂性时，很难做到这一点。

例如，主要的云安全风险与在组织的混合和多云环境中运行的人和非人身份有关。实际上，通过使用Amazon Web Service（AWS）对组织进行广泛的研究和分析评估，CloudKnox安全研究实验室发现了在这些环境中授予的权限与所使用的权限之间的显着差异。此增量称为“云权限差距”，它是影响各种规模企业的意外和恶意内部威胁增加的一个促成因素。在这里，攻击者能够在组织无法实施和管理零信任策略的情况下，以更高的权限利用身份并跨组织的关键云基础架构进行访问。

由于Cloud Permissions Gap难以驾驭并且构成了直接威胁，因此CloudKnox会更深入地研究AWS风险评估以进行Cloud权限管理，以概述风险所在，并提供减轻风险的最佳实践。

什么是云权限差距，为什么会有危险？

在采用公共云或混合云基础架构的任何组织中都存在云权限差距，这使得该组织极易受到意外和恶意威胁的攻击。这是如何发生的，为什么它普遍流行？尽管身份仅应具有其特定工作职能所需的权限，但是对超过150个全球企业的CloudKnox评估发现，访问其组织的AWS基础架构的所有身份中，超过95％的身份使用的权限不到授予的2％。更糟糕的是，据报告所有AWS角色中有40％处于非活动状态或被过度许可。

但这还不是全部！以下是来自AWS部署的其他一些发现，这些发现可能会给全球组织带来可怕的结果，如果不缓解的话，还会提供有关这样做的建议：

· 经常向外部身份授予跨帐户访问权限。身份可以假定目标帐户中的所有资源，从而大大增加了由于恶意意图或意外行为而导致数据泄漏，服务降级或服务中断的可能性。

建议：适当大小的角色范围以访问有限的资源，并限制对其他帐户中特定身份的访问。

· 管理员通常没有启用多重身份验证（MFA），并且访问密钥的旋转时间不超过6个月。未启用MFA的管理员没有定期旋转的登录或访问密钥，则有较高的凭据泄露风险，这增加了攻击面。

建议：根据AWS结构完善的建议，为所有具有控制台访问权限的用户启用MFA，并每90天旋转访问密钥。

· 大多数企业拥有可访问所有简单存储服务（S3）存储桶的弹性计算云（EC2）实例。恶意攻击者可以利用这些受损的EC2实例来访问敏感数据存储，例如S3存储桶，从而导致数据泄露。

建议：限制EC2实例上的应用程序对所有资源的广泛访问。

· 打开了入站安全外壳（SSH）端口并将其附加到EC2实例的配置错误的安全组。开放的安全组允许基于网络的攻击来访问EC2实例。

建议：任何安全组均不应允许对任何端口的无限制入口访问。

· 具有特权提升能力的身份可以提升为超级管理员角色。具有隐藏特权升级的身份会增加用户对管理员特权的访问权限，从而增加用户获得未经授权访问的风险。

建议：定期检查所有身份策略，以获取高风险权限，有毒组合以及任何特权升级的可能性。

过度使用的身份使组织在其整个AWS环境中容易遭受重大风险，表面上使CISO和安全运营中心（SOC）团队的生活更具挑战性和复杂性，但不必要，但这不是必须的。

组织可以做什么来保护其AWS环境？

管理与任何给定的人类或非人类身份相关的权限非常复杂；如果不能正确，连续地管理身份，将给组织带来巨大的风险。但是，在这些多云环境中，并不一定注定要失败。使用AWS的组织现在可以并且应该做以下三件事来保护其云基础架构：

· 利用基于活动的授权对身份的权限进行适当调整。自动为过度特权的用户，角色和组删除权限或缩小权限范围。使用集成的批准工作流，通过受控的定时访问来按需启用高风险权限。限制对关键云基础架构资源的广泛访问。

· 持续识别，改善和监视身份和访问管理（IAM）卫生状况。从静态的，基于假设的权限授予过程迁移到连续的，基于活动的权限管理过程。监视，获取警报并纠正异常的身份行为，未经授权的身份和角色。

· 实施自动化，持续的合规性和报告。通过删除安全组中的入站SSH和远程桌面（RDP）访问来限制对虚拟机的访问。为具有控制台访问权限的所有身份启用MFA。定期轮换凭据并定期管理密钥，以减少凭据泄露所带来的风险。使用NIST 800-53，CIS基准，PCI-DSS和AWS Well-Architectured报告在所有帐户中自动化和安排自定义风险报告，以推动合规性。

最终，所有组织都必须优先考虑数字化转型和云优先策略，以利用解决方案来管理访问并在云中实施最小特权和零信任访问。我们知道，尽管已有解决方案，但随着向云的不断发展和发展，与过度许可的身份（包括人类和非人类）相关的风险只会加剧。正如最新的CSA（云安全联盟）报告和图表所示，随着不良行为者利用这些身份从不断增长的攻击媒介中窃取敏感信息，授予的权限与在整个组织的云基础架构中使用的权限之间的差异变得越来越危险。 。

展望未来，将最佳实践用于云权限管理的组织将更适合在其混合环境和多云环境中实施和管理零信任策略，并保护关键的云基础架构资源和身份。此外，利用自动化技术（例如云基础架构权利管理（CIEM）平台）可以使组织加强此类最佳实践。这些行动共同使组织能够实现零信任的指导原则之一-限制过多的权限和主动的安全风险。