随着多云计算环境的激增,至关重要的是 特权访问管理(PAM) 涵盖云和本地系统。

行业威胁报告已发现,凭证滥用是造成违反的第一大原因。但是,遭到入侵的帐户本身不足以使黑客获得皇冠上的珠宝。如果是这样,则表示访问管理系统失败,例如PAM和身份治理与管理(IGA)。

PAM是混合多云管理挑战的一部分

许多组织已经从 特权过高的IT管理员 和高级用户。随着他们过渡到基于云的解决方案,许多内部部署的复杂性并没有消失。我们最终遇到了上图所示的混合多云管理挑战。

赌注很高。诸如此类的 最近违反了Capital One的AWS S3存储桶 强调无缝的需求,但是 自动化,特权管理 在多云基础架构中。

为了保护在云环境中必要的特权使用, 身份和访问管理(IAM) 系统和PAM必须支持云本地所有层次的云部署应用程序接口(API)。它必须支持仍在IaaS层中的传统Windows或* NIX服务器之上的无服务器计算模型。 IAM和PAM还必须在更动态,更大规模的环境中运行。

为了迎接挑战,PAM必须在三个关键领域进行改进:

  1. 拥抱 云访问的即时(JIT)访问模型
  2. 在基础架构即服务(IaaS)和平台即服务(PaaS)环境中改善对服务帐户和DevOps管道的支持
  3. 与身份治理和管理(IGA)服务集成

JIT PAM –访问控制的转换模型

特权账户 –例如用于域管理员或服务器根管理员的–具有太多功能,无法通过将用户映射到角色的普通IGA工具进行适当控制。 PAM解决方案 通过以下方式对特权帐户的使用提供严格控制 特权凭证保险库,会话控制和会话记录功能。

但是,尽管传统的PAM 保管和轮换特权帐户的凭据,这些帐户是静态的。特权帐户和特权角色之间的绑定是静态的,或“始终在线”。

云服务,例如 AWS AssumeRole 展示新的即时(JIT)PAM模型。 AssumeRole使用户可以从Amazon的安全令牌服务(STS)获得一组临时的安全访问令牌和凭证。 JIT访问也得到Microsoft的支持,因为特权不是“始终存在”的,因此可以大大减少IT攻击面。

在软件即服务(SaaS),PaaS和IaaS环境中为用户帐户提供JIT PAM不仅可以大大降低风险,而且对于没有内置帐户类型的无服务器环境,它也是一种更自然的管理模型您可以在传统操作系统中找到。 JIT PAM epitomizes the 最小特权的概念,它使IAM解决方案能够与“一个身份”一起使用,以仅在需要时为特权用户担任角色或获得许可。

统一用于用户和服务帐户管理的IGA和PAM

因为从根本上管理 基于角色的JIT访问 与管理传统的静态特权帐户相比,JIT PAM代表了更动态的过程,因此它应与组织用于角色管理的相同IGA解决方案更紧密地集成。

在云中,IGA / PAM解决方案面临的一项直接挑战是 将DevOps用户帐户置于最低特权的身份管理模型下。对于最敏感的应用程序,DevOps用户帐户应在符合相关风险标准后才获得提升的特权,并且访问应仅限于所需的精细权限。

服务帐户呢?在IaaS环境中,机器和服务帐户比用户帐户更为普遍,但是对于大多数组织而言,管理它们仍然是一个巨大的空白。 IGA和PAM解决方案应采用整体方法来管理和动态分配角色 都 用户和服务帐户访问权限。

为此,可以通过API密钥或 秘密金库。可以通过IGA系统已知的角色来控制服务帐户授权特权。 IGA处理手动或自动工作流以批准访问,而云PAM解决方案可以为DevOps管道协调器(如Ansible,Chef和Jenkins)提供容器化的访问网关或秘密保管库。

赌注是什么

JIT访问,PAM和IG的融合为克服PAM的传统采用障碍并将其适应云环境提供了最大希望。某些必需的IGA / PAM /云集成还为时过早。这个和其他实际挑战可能会导致一些客户在改进方面进展缓慢 云PAM覆盖。但是延迟对云IGA / PAM的探索可能会延长系统寿命 与特权相关的漏洞,而在混合多云环境中,这些漏洞将变得更加严重。考虑解决 PAM云安全问题 现在,您可以在接下来的6到12个月内为最关键的系统寻找轻松获胜和/或降低风险的方法。

资源: //www.beyondtrust.com/blog/entry/effective-privilege-management-for-the-cloud-the-3-keys