云原生账号安全办理

2020-06-28

云原生账号安全办理

一、事务需求

在公有云建设前期,账号安全办理主要是依赖云本身的管理。等到公有云建设中期的时分,公有云可以通过云产品基线对账号体系进行查看,例如:云主账号开启双因素认证,密码策略轮换,监控AK泄露等安全相关的基线来完成监督。主机层面会使用主机安全基线做账号以及密码相关的查看。可是,我们会发现云端管理好用户特权账号,只是账号安全办理生射中的一小部分,很多特权账号散落在用户登录云管端的笔记本电脑中,很多开发期间的运用程序连接账号密码都硬编码到了装备文件等当地…,特权账号使用静态密码,对账号缺乏有用的管理、监控、企业很容易遭受攻击,同时很多合规查看也要求对企业特权账号要监督。

  • 无法可视化管理,很难知道有多少账号财物以及谁在使用。
  • 很难保障特权密码的安全性。
  • 无法看到谁在用那个账号做什么,没法控制特权账号的权限。

二、云原始账号管了解决方案

首要要主动扫描、定位所有账号,对账号管理有一个全面的了解。使用密码保管库统一管理账号,同时通过署理登陆的方式对账号操作进行记载,最终分析出账号异常使用状况。

我们先假定一个用户场景,大约有200台云主机、100台docker,管理这些特权帐户的安满是一项杂乱的工作,跟踪所有的变更,确保每台效劳器ssh key 布置是通过审批的,并记载下来以便进行长时间分析和审计。

1. 账号扫描引擎

  • 需要在云主机本地布置主机安全Agent全盘收集用户账号信息,以及散落在角落中的ssh key等信息,(依靠联系,创立日期)。
  • 扫描应用体系,查看是否存在运用程序脚本、装备文件和软件代码中的硬编码凭据。
  • 通过客户端登陆程序扫描登陆云主机的终端是否存在事务体系的key或者账号密码。

2. 企业级密码保管库

(1) 通过web控制台,管理员可以通过REST API 设置建立初始化账号策略(例如:设置策略以建立凭据强度以及轮换频率、同享账号策略)。

(2) 通过账号署理程序,细粒度的控制特权拜访,存储拜访记载。

(3) 提供账号使用合规陈述。

  • 账号最小权限分析陈述。
  • 账号使用规模可视化陈述。
  • 账号审计陈述。

3. 账号要挟剖析

  • 分析引擎对用户、实体和网络流量运转多种杂乱的专用算法(包括确定性算法和基于行为的算法),针对攻击者会假充成授权内部用户,实时发现攻击并主动做出响应,以便在整个攻击生命周期的前期发现攻击迹象。通过尽早发现攻击,安全团队就有了更多宝贵时间来在形成事务中断之前终止攻击。
  • 与SIEM处理计划的双向集成**使安全团队可以使用现有的SIEM布置来汇总数据,进行有针对性的分析,并发出预警来为触及特权账户的工作分配优先级。

三、体系架构

简述:

  • 本处理计划支撑公有如此主机、云物理机、IDC保管物理效劳器,应对用户多云布置的状况。
  • 针对企业级秘钥管理库,我们为每一个租户开启一台虚拟的云加密保管效劳,确保公有云运营方对用户的凭据滥用的状况。

(1) 秘钥安全性保障

  • 虚拟云加密机初始化是由公有云给租户邮寄USB key
  • 用户在自己的VPC环境中架设VPNServer,通过VPN连接租户VPC环境中。
  • 在公有云渠道上注册虚拟云加密机效劳,云加密物理机通过公有云网络中peer方式映射到租户VPC环境中,使用USBkey进行初始化。

(2) 秘钥生命周期管理

  • 登陆秘钥办理操控台,用户请求ssh key,以及要登陆的云主机或者物理机。通过审批后,主机安全Agent会分发SSH key到云主机或者物理机上。
  • 使用过程当中,安全Agent会扫描、监控、审计整个过程。
  • 当秘钥需要毁掉的时分,到秘钥办理操控台请求,审批后,主机安全Agent会删除对应主机上的SSH key。

(3) 安全要挟剖析

  • 通过主机安全Agent来进行SSH key扫描,可以分析出其时租户环境中的SSHkey散落状况并且给出合规陈述。
  • 通过主机安全Agent记载登陆状况,账号审计数据上传到态势感知安全运营平台,通过UEBA模块做大数据剖析。给出响应的安全告警

四、总结

本文介绍了云原生账号安全办理项目,期望在实践安全运营过程当中有所协助。



扫描二维码分享到微信

在线咨询
联系电话

400-888-8866