雲端安全策略縱深防禦核心技術

14 分鐘閱讀

隨著雲端服務的普及,雲端安全防護日益重要。本文探討多個關鍵策略,包括漏洞管理、IPv6 的安全優勢、特權帳戶控管以及新興的雲端基礎設施授權管理 (CIEM),並闡述多因素驗證 (MFA) 和單一登入 (SSO) 的實作效益。在雲端環境中,及時修補漏洞至關重要,同時 IPv6 的原生加密和擴充套件地址範圍也顯著提升了安全性。特權存取管理 (PAM) 則是保護雲端資產的關鍵,VPAM 則進一步強化了供應商的遠端存取安全。最後,CIEM 提供了跨多雲環境的集中式授權管理,有助於實施最小許可權原則並降低安全風險。

雲端漏洞管理:及時修補,防患未然

雲端環境的漏洞管理與本地端環境的原則相同:必須及時修補漏洞,尤其是在風險較高的情況下。然而,由於缺乏修補管理代理技術和 DevOps 流程的差異,雲端環境的修補佈署方式有所不同。修補程式的釋出通常作為 DevOps 流程的一部分,而非直接在生產環境中進行。無論採用哪種方式,都必須充分理解並納入策略規劃中,以降低雲端攻擊向量帶來的威脅。

此外,監控和評估漏洞管理方法至關重要,以便持續改進和最佳化,縮短關閉安全漏洞的時間。良好的資產管理有助於確保覆寫範圍的完整性,避免任何遺漏。

IPv6 安全優勢:構建更安全的網路環境

網際網路協定(IP)是允許資源在網路上互相查詢和連線的標準化協定。IPv4 在 20 世紀 80 年代初期設計,在網際網路蓬勃發展之前。隨著網際網路的商業化和全球化,網路專家開始關注 IPv4 的侷限性,例如地址數量有限(32 位元)以及缺乏內建安全性。因此,IPv6(128 位元可定址)應運而生,並由網際網路工程任務組(IETF)批准,具備現代網際網路所需的特性和解決方案:

  • 改進的連線性、完整性和安全性
  • 支援網路功能裝置的能力
  • 支援原生端對端加密
  • 向後相容 IPv4

除了可解決 IPv4 公開定址資源有限的問題外,IPv6 擴充套件的地址範圍還提高了可擴充套件性,並透過使主機掃描和識別更具挑戰性來增強安全性。

圖表翻譯: 上圖展示了 IPv4 和 IPv6 在地址範圍和安全性方面的差異。IPv4 透過 NAT 技術解決地址有限問題,而 IPv6 則直接透過擴充套件地址範圍來提升可擴充套件性和安全性。

IPv6 原生支援端對端加密,而 IPv4 的加密功能則非強制性,且並非總是得到正確實作。IPv4 加密和完整性檢查最常見的使用案例是虛擬私人網路(VPN),而這已成為 IPv6 的標準元件。這使得所有連線都可使用加密,並受到所有現代相容資源的支援。IPv6 使得執行中間人攻擊更具挑戰性,因為加密是內建的,消除了整類別攻擊。

與先前討論的 DNS 攻擊向量不同,IPv6 還為名稱解析提供了卓越的安全性。安全鄰居發現(SEND)協定可以對主機身份進行加密確認。這使得地址解析協定(ARP)中毒和其他根據名稱的攻擊幾乎無效,或者至少對威脅行為者來說更難執行。相比之下,IPv4 可能被威脅行為者操縱,以重新導向兩個主機之間的流量,從而篡改封包或至少嗅探通訊。IPv6 使得這類別攻擊很難成功。

簡而言之,如果正確實作,IPv6 的安全性遠高於 IPv4,在構建雲端解決方案以及混合實作時,它應該是主要協定。最大的缺點是確保所有資產(包括防火牆等安全解決方案)都能使用 IPv6 正確通訊。針對包含 IPv4 和 IPv6 的混合環境的威脅確實對組織構成重大風險。純粹的實作是最好的,它並非沒有自己的工具,並且確實需要管理上的學習曲線。

對於考慮在其雲端環境中使用 IPv6 的組織,以下是一些最佳實務:

  • 在開始從 IPv4 轉換到 IPv6 時,在同時啟用兩種協定的情況下使用隧道時要格外小心。隧道確實可以在 IPv4 和 IPv6 元件之間提供連線,或在仍根據 IPv4 的網路區段中啟用部分 IPv6,但它們也可能帶來不必要的安全風險。將隧道保持在最低限度,並且僅在必要時使用。啟用隧道時,由於流量的路由和加密本身更難識別,因此網路安全系統也更難識別攻擊。
  • 考慮整個環境和架構。與 IPv4 相比,IPv6 下的網路架構可能難以理解和記錄。複製現有設定,然後僅交換 IP 地址,將無法提供最佳結果。因此,重新設計網路以最佳化實作。當考慮到受 IPv6 影響的所有元件(從雲端、DMZ、LAN 和導向公眾的地址,通常需要可作為 IPv4 定址)時,尤其如此。
  • 確認整個環境相容、最新,並且已記錄和測試切換計劃。這不像開啟電燈開關。這包括雲端和混合環境的完整資產清單。在此過程中,很容易錯過個人正在使用的網路裝置或安全工具,尤其是漏洞和修補程式管理等基礎知識。隨著時間的推移,這些將造成不必要的不斷升級的風險。因此,在準備好之前,不要啟用 IPv6。除非是新的安裝(始終是首選),否則應測試、測試,然後再測試 IPv6 轉換。

特權存取管理 (PAM):守護雲端金鑰

保護雲端資產需要的遠不止是安全修補程式、正確的組態和強化。一個被盜用的特權帳戶會從金錢和聲譽角度對組織造成巨大的損害;例如 Equifax、Duke Energy(根據第三方軟體供應商)、Yahoo 和 Oldsmar 水處理廠等,都受到了涉及利用控制不足的特權存取的入侵的嚴重影響。影響範圍從公司股價和高管獎金受到打擊,到收購條款的改變,甚至阻礙開展基本業務(如接受付款)的能力。

被盜用的特權密碼在暗網上具有貨幣價值,供威脅行為者購買,但它也具有可以與組織相關聯的風險價格。如果該密碼被盜用,其受保護的內容暴露在野外,那麼其價值和風險是什麼?此類別事件可能會對資產和公司的整體風險評分產生重大的負面影響。

個人身份資訊 (PII) 資料函式庫非常有價值,如果藍圖或商業機密出售給合適的買家(或政府),則其價值更高。特權帳戶具有價值,有些具有巨大的價值,挑戰不僅在於保護它們,還在於首先確定它們存在的位置。資產管理討論詳細強調了這一點。如果可以發現特權帳戶存在的位置,則可以衡量其風險,然後監控它們是否被適當使用。任何不當存取都可以使用日誌管理或 SIEM 突出顯示,並在必要時適當升級以進行調查。這是整體安全策略中不可或缺的一部分。

強化雲端安全策略:特權存取管理的進階實務

在雲端環境中,並非所有特權帳戶都具有相同的價值。其價值取決於它們所代表的風險以及它們可以存取的資料的重要性。例如,網域管理員帳戶的價值高於具有唯一密碼的本機管理員帳戶,儘管後者可能足以用於未來的橫向移動。網域管理員帳戶讓攻擊者可以存取任何位置的所有內容,而唯一的管理帳戶只能提供對單一資產的存取權。同理,資料倉函式倉管理帳戶的價值也遠高於用於資料函式庫報告的受限帳戶。雖然這兩個帳戶都具有特權,但擁有資料函式庫比僅提取資料更有價值。因此,將每個特權帳戶視為同等重要並非良好的安全措施。

那麼,如何將憑證和特權保護提升到一個新的水平,作為雲端網路安全策略的一部分呢?以下是一些最佳實務:

  1. 識別環境中的核心資產(敏感資料和系統):這有助於量化風險,形成安全策略的支柱。如果目前尚未規劃,那麼這是一項值得在資料治理和資產管理計畫中執行的任務。

  2. 使用資產清單掃描器發現所有特權帳戶:可以透過免費解決方案或企業PAM解決方案來完成此操作。此外,還應考慮使用弱點管理掃描器。許多虛擬機器掃描器可以執行帳戶列舉,並識別帳戶的許可權和群組。

  3. 將已發現的帳戶對映到核心資產:根據業務功能,可以透過主機名稱、子網路、AD查詢、區域或其他邏輯分組來完成此操作。這些應在資產資料函式庫中分配一個關鍵程度,並連結到弱點管理程式。

  4. 衡量資產的風險:可以使用基本的關鍵/高/中/低評級來完成此操作,但也應考慮目前的核心資產和任何其他風險,例如評估的弱點。這些指標中的每一個都有助於加權資產分數。如果正在尋找標準化的起點,可以考慮 CVSS 和環境指標。

  5. 最後,疊加已發現的帳戶:資產的風險將有助於確定特權帳戶被入侵的可能性(透過弱點和相應的漏洞利用),並有助於在帳戶對映之外確定資產修復的優先順序。

在實際應用中,包含敏感資訊的資料函式庫可能不時會出現嚴重弱點,尤其是在修補程式週期之間。然而,這段時間應該盡可能縮短。如果用於修補的許可權帳戶不受管理,則在進行修補程式修復時,資產仍可能存在高風險。只有在監控和控制許可權和會話的情況下,才能降低這種風險。可以透過弱點或不受限制、不受管理與未委派的特權存取來確定關鍵程度。因此,管理不善的特權帳戶,尤其是不受保護的帳戶、具有過時、可猜測或重複使用密碼,甚至是預設密碼的帳戶,在雲端環境中是不可接受的。因此,實施和完善特權存取管理不僅在降低雲端攻擊向量方面發揮著基礎作用,而且還能釋放雲端的潛力。

供應商特權存取管理 (VPAM)

資訊科技中最有趣的一點是,很少有真正原創的想法能改變網路安全遊戲規則。通常,下一個最佳方案遵循多年來一直參與的安全最佳實務,而新的熱門解決方案則建立在先前的技術之上。可以說大多數現代網路安全解決方案只是先前解決方案的衍生,在偵測、執行時間、安裝、使用等方面都有漸進式改進,以解決多年來一直困擾組織的問題。雖然有些方法可能具有創新性,甚至可以申請專利,但最終,它們做的事情是相同的。例如防毒軟體、弱點管理、入侵偵測、日誌監控等都是如此。

因此,當出現像供應商特權存取管理 (VPAM) 這樣的新術語時,需要檢視其根本定義,然後瞭解組合和衍生解決方案實際上是什麼樣子,以及最終為什麼它與眾不同。首先,回顧一些與 VPAM 相關的基本定義:

  • 供應商:向另一個人或實體提供待售商品、服務、軟體或有形產品的人或公司。在許多情況下,產品需要安裝、維護或其他服務,以確保產品在一段時間內的成功。供應商不一定是產品的製造商,但它是實際執行解決方案銷售的實體。保固和責任可能因供應商和製造商的條款和條件而異。在網路安全方面,製造商通常提供更新,而供應商如果簽訂合約,則可以協助安裝。
  • 特權存取管理:PAM 包括網路安全策略和技術,用於對整個環境(無論是在本地還是在雲端)中身份、使用者、帳戶、流程和系統的提升(「特權」)存取(本地或遠端)和許可權施加控制。透過調整適當級別的特權存取控制,PAM 可幫助實體減少攻擊面,並防止或至少減輕使用具有過多許可權和遠端存取權的帳戶進行攻擊所造成的損害。
  • 遠端存取:遠端存取允許從遠端位置存取雲端解決方案中的資產,例如電腦、網路裝置或基礎架構。這允許身份遠端操作,同時提供近乎無縫的使用體驗,以完成指定任務或目標。
  • 零信任:零信任背後的核心理念是根據「永不信任,始終驗證」來實施技術。此概念意味著所有身份和資產永遠不應允許驗證,除非驗證請求的上下文並在會話期間主動監控其是否具有適當行為。這包括實施零信任安全控制,即使存取是透過受信任的網路區段連線或源自不受信任的環境。管理存取策略是在安全的控制平面中執行的,而存取本身是在資料平面中執行的。

供應商特權存取管理允許第三方身份/供應商使用最小許可權概念成功地遠端存取資產,而無需知道連線所需的憑證。事實上,存取所需的憑證是暫時的,可能會即時例項化,並且會監控所有存取是否具有適當行為。

VPAM 與其他解決方案的不同之處在於它是如何建立在現有技術之上的。它採用供應商的身分(包括外部管理的身分),並成功地將安全遠端存取、特權存取管理和零信任的最佳實務合併到單一解決方案中。VPAM 利用雲端的最佳屬性來提供特權遠端存取的管理平面,並允許在資料平面中實施,無論組織在哪裡擁有需要供應商遠端存取或管理的資產。

總結:本文探討了雲端安全防護的多個關鍵策略,包括漏洞管理、IPv6 的安全優勢以及特權存取管理的重要性。在現代企業日益依賴雲端服務的大背景下,這些策略對於保障企業資訊保安至關重要。透過實施這些措施,並持續監控與最佳化,能夠有效降低潛在風險,從而確保企業資料與系統的安全與穩定執行。同時,這些做法也有助於企業更好地應對日益複雜的安全威脅,為企業的可持續發展提供堅實保障。。

深入淺出多因素驗證 (MFA) 與單一登入 (SSO)

在雲端安全領域,驗證機制扮演著至關重要的角色。隨著科技發展,多因素驗證 (MFA) 和單一登入 (SSO) 成為強化雲端安全的兩大關鍵技術。

多因素驗證 (MFA):層層把關,滴水不漏

MFA 的核心概念是除了傳統的使用者名稱和密碼之外,還需要額外的「驗證碼」或其他證據來驗證使用者身份。最佳實踐方式是使用者擁有獨特的實體物件作為身份「證明」。

MFA 驗證因素

  1. 實體裝置或軟體: 例如手機應用程式或 USB 金鑰,可產生定期重新隨機化的密碼。
  2. 臨時密碼: 僅限終端使用者知道的臨時密碼,例如在驗證時透過電子郵件或簡訊傳輸的 PIN 碼。
  3. 生物特徵: 可進行數位分析以驗證唯一性的物理特徵,例如指紋、臉部辨識或語音模式。

MFA 為身份驗證增添了額外的保護層,讓未經授權的攻擊者更難以入侵。即使攻擊者取得了使用者名稱和密碼,仍然需要其他的驗證因素才能成功登入。

圖表翻譯: 以上流程圖展示了 MFA 的驗證過程。使用者需要提供使用者名稱、密碼和驗證碼才能透過驗證伺服器,最終存取資源。若任何一個驗證因素錯誤,則存取將被拒絕。

單一登入 (SSO):一鍵登入,簡化存取

SSO 允許使用者一次性驗證,即可在特定時間記憶體取一組定義的資源,無需重複驗證。結合 MFA,更能確保身份的可靠性。

圖表翻譯: 以上時序圖展示了 SSO 的運作方式。使用者透過 MFA 向 SSO 伺服器驗證身份後,即可存取已授權的應用程式,無需再次驗證。

VPAM 與供應商遠端存取現代化

在隨處工作 (WFA) 運動持續進行的同時,將供應商遠端存取現代化是一個重要的課題。供應商特權存取管理 (VPAM) 提供了一個新的解決方案類別,能夠統一現有的最佳產品,以解決供應商遠端存取的重大挑戰。

圖表翻譯: 以上圖表展示了 VPAM 的參考架構。控制平面中的 VPAM SaaS 解決方案負責管理和控制供應商的存取許可權,而資料平面中的組織資產則是被存取的目標。供應商透過 VPAM SaaS 解決方案獲得對組織資產的存取許可權。

雲端基礎設施授權管理(CIEM)

雲端基礎設施授權管理(CIEM)是新一代的解決方案,用於發現和管理許可權、評估存取以及在雲端中實施最小許可權。CIEM 的目標是解決當前身份存取管理 (IAM) 解決方案的缺點,並滿足雲端原生解決方案對身份管理的需求。CIEM 的主要優勢在於提供標準化的方法,可以擴充套件到多個雲端和混合雲端環境,並以統一的方式持續執行最小許可權原則和測量授權風險。

CIEM 的運作原理

CIEM 解決方案可以即時發現、管理和監控授權,並對跨多個雲端基礎設施的每個身份行為進行建模。當識別到風險或不當行為時,CIEM 提供警示並強制執行最小許可權策略,同時自動更改策略和授權。

SSO 與身份管理

圖表翻譯: 此圖表說明瞭 SSO 如何讓使用者透過單一驗證點存取多個應用程式。使用者只需驗證一次 SSO 系統,即可存取應用程式 1、2 和 3,而無需分別登入每個應用程式。

IDaaS 與身份提供者

圖表翻譯: 此圖表說明瞭 IDaaS 如何作為中央身份提供者,讓使用者可以存取雲端和內部佈署應用程式。IDaaS 簡化了身份管理,並允許組織對所有應用程式實施一致的安全策略。

CIEM 跨雲端平台的管理

圖表翻譯: 此圖表說明瞭 CIEM 如何跨多個雲端平台管理授權。CIEM 提供集中式檢視和控制,讓組織可以有效地管理和監控所有雲端環境中的存取許可權。

CIEM 的優勢與實務

CIEM 提供多雲環境中身份管理的整合和標準化檢視,允許對許可權進行精細監控和組態。其核心優勢在於根據 API 的聯結器,可以即時運作,持續評估身份和許可權狀態,並將其應用於策略引擎,支援針對雲端環境中風險識別的自動化。

CIEM 架構

內容解密: 上圖展示了 CIEM 解決方案的典型架構。API 聯結器用於列舉每個雲端執行個體和供應商的身份和許可權。資料函式庫用於儲存目前和歷史的身份、許可權和修復策略。策略引擎用於識別威脅、變更以及不適當的身份和許可權建立與分配。使用者介面用於管理解決方案,並將多雲資訊彙總到單一檢視中。

CIAM:客戶身份管理的利器

CIAM 專注於管理需要存取公司網站、雲端入口網站和線上應用程式的客戶(企業外部)的身份。CIAM 服務管理身份和帳戶,而不是在公司每個軟體應用程式執行個體中管理,從而可以重複使用身份。

CIAM 的運作原理

@startuml
skinparam backgroundColor #FEFEFE
skinparam componentStyle rectangle

title 雲端安全策略縱深防禦核心技術

package "安全架構" {
    package "網路安全" {
        component [防火牆] as firewall
        component [WAF] as waf
        component [DDoS 防護] as ddos
    }

    package "身份認證" {
        component [OAuth 2.0] as oauth
        component [JWT Token] as jwt
        component [MFA] as mfa
    }

    package "資料安全" {
        component [加密傳輸 TLS] as tls
        component [資料加密] as encrypt
        component [金鑰管理] as kms
    }

    package "監控審計" {
        component [日誌收集] as log
        component [威脅偵測] as threat
        component [合規審計] as audit
    }
}

firewall --> waf : 過濾流量
waf --> oauth : 驗證身份
oauth --> jwt : 簽發憑證
jwt --> tls : 加密傳輸
tls --> encrypt : 資料保護
log --> threat : 異常分析
threat --> audit : 報告生成

@enduml

圖表翻譯: 上圖說明瞭 CIAM 如何讓使用者透過單一登入存取多個應用程式。使用者只需向 CIAM 服務驗證一次,即可存取所有已授權的應用程式,無需重複登入。

玄貓 BlackCat

玄貓 BlackCat

技術愛好者,專注於分享程式開發、雲端技術與 AI 應用的心得體會。