根据Gartner的数据,到2025年,客户将承担99%的云安全故障,而90%的不控制公共云使用的组织将以不适当的方式共享敏感数据。鉴于公共云服务产品的巨大复杂性以及企业所倾向的混合云和多云部署,这不足为奇。
组织必须实施云所有权准则,建立治理策略,并找到一种方法来可视化谁可以访问其云环境,从而避免财务损失和数据泄露。例如,在最近一个涉及领先搜索引擎的事件中,密码被删除或过期的不安全服务器使网络犯罪分子可以访问用户的搜索记录和位置,从而使客户有遭受欺诈的风险。
本文探讨了企业在云IAM方面遇到的挑战,以及应该遵循的最佳实践!
为什么不能在云中部署本地IAM
许多企业错误地认为他们可以对云和本地使用相同的IAM方法,这会面临安全风险,并且容易出错。云环境中的数据是高度分布式的,而数据中心环境是集中的且受到良好控制的,因此不能将相同的规则应用于两者。此外,云允许用户利用可动态上下扩展的弹性服务。这意味着云环境的变化速度很快,而适用于内部部署的旧IAM策略跟不上。因此,企业必须承认他们需要一套专门针对其云环境量身定制的新策略。
说起来容易做起来难,因为 81%的组织使用多云方法,而公共云提供商的IAM工具通常无法扩展到自己的平台之外,因此很难在所有云平台上实施标准化的IAM解决方案。
用户如何绑定IAM权限
云IAM中的一个常见错误是,组织对其权限过于自由,不管他们是否打算这样做。不同组中的人员(例如员工和承包商)可以访问云中的资源,可以在云环境中打开访问权限并更改权限。由于决策是分散的,并且由不能总是做出明智的访问决策的人所拥有,因此很容易在不知不觉中将访问权限授予本来不应该被授予访问权限的用户或资源。由于云环境广泛而复杂,因此查看哪些用户有权访问数据变得越来越困难。这种可见性的缺乏还可能使企业不知道过期/删除的密码会破坏资源。
未能保护特权用户的后果
证书被盗或泄露,云配置错误是2019年公司违规的最常见原因,占恶意事件的近40%。在这些情况下,未经授权的用户会利用弱IAM策略来访问敏感资源和数据。所造成的漏洞通常会使公司平均损失386万美元,而且还不止于此。安全漏洞还会导致声誉受损和客户信任度下降,从而严重影响公司的价值。
最佳实践
为了避免数据泄露并确保数据安全,组织必须创建专门针对其云环境的IAM治理策略,并且他们必须能够执行这些策略。云IAM治理的最佳实践包括:
-
确保可见性以了解谁有权访问特定的云资源。 可见性必须是第一步,并且需要跨越整个多云环境。
-
设计,实施和强制执行IAM策略,以将对敏感资源的访问限制为只有真正需要它的用户和设备。 这包括设计权限,以便用户无法更改权限设置。这确保了通过策略进行的访问受到监视和保护。
-
调查安全工具,以确保您收到有关策略更改和后续风险的警报。 例如,如果将密码设置为过期,那么将向谁发出警报,并且如果密码过期将发生什么?不幸的是,资源通常是完全开放的,不需要任何身份验证。
- 暴露配置错误的云资源和人为错误。 问个问题:如果某些资源暴露在外,“爆炸半径”是多少?未经授权的用户可以利用该信息来访问其他资源吗?在编写和实施IAM策略时考虑扩展的***面有助于确保最关键的资产得到适当的保护。
未来
Gartner预测,到2024年,大多数企业将继续努力衡量云安全风险。但是,这不应阻止组织使用云来驱动他们的工作负载,提高效率和生产力。企业必须具有云治理策略来评估风险与回报,以做出明智的决策。通过为人和机器实施治理IAM策略,同时提高云的可见性,企业可以确保数据保持安全,只有授权用户才能访问敏感数据,并且如果发生错误,爆炸半径将最小化。
历史文章