蓝盟-系统集成-蓝盟官网

蓝盟云服务，如何管理云中特权用户的管理？

发布者：上海IT外包来源：www.linemore.com

许多公司正在尝试保护员工使用的云中各种应用程序和服务中的用户帐户，因为攻击者通过网络钓鱼攻击和下载获得越来越多的云帐户和登录凭据。传输以尝试访问企业计算环境。虽然公司非常重视用户帐户的保护，但一旦管理和根级帐户遭到破坏，公司就会面临非常严重的后果。
　　例如，考虑代码空间，其亚马逊云计算服务（AWS）管理门户在2014年遭到攻击。在攻击者获得访问权限后，公司的所有基础架构都暴露出来，最终导致其失败。公司那么，公司如何保护与其环境相关的特权帐户并部署特权用户管理？
　　在大多数基础架构即服务（IaaS）云中，有几种主要的管理形式或根级访问。默认情况下，IaaS环境需要创建用户帐户作为初始管理员，通常通过用户名或电子邮件和密码进行身份验证。此初始管理员可以配置环境并创建新用户和组。用户目录（例如Microsoft的Active Directory）也可以链接到云的访问权限，以便根据内部角色向许多管理员提供对云的访问。 IaaS系统的许多映像或模板还包含特权默认用户帐户。在AWS计算机的映像中，该用户是“ec2-user”。
　　特权用户管理的基本概念。
　　首先，组织应该审查特权用户管理的核心概念，包括以最小特权分离功能和访问模型。许多云服务提供商都包含内置的身份和访问管理工具，允许您为每个用户和组创建不同的策略。这允许安全团队帮助设计权限策略，以便管理员只能执行对其功能绝对必要的操作。
　　对于不支持详细权限模型和角色的云服务提供商，通过将身份产品用作服务，提供商可以在内部凭证存储和服务提供商环境之间传输身份信息。云，作为单一登录门户。。
　　此外，组织必须对所有云环境中的特权用户访问实施多因素身份验证，这可以防止代码空间控制台中的初始攻击。许多提供商提供许多不同形式的多因素访问，包括终端证书，来自多因素提供商的硬和软令牌，以及短信代码，这些代码不够安全，但仍然总比没有好。
　　理想情况下，具有管理员权限的用户将使用经过批准的多因素方法来访问管理控制台以及所有类型云环境中的机密资产和服务。对于大多数公司而言，令牌和软件证书被证明是特权用户管理中最可行和最安全的选择。最后，通过管理和监控密钥来完成根级别控制和访问管理的一个关键方面。必须使用私钥访问大多数管理员帐户（尤其是内置于默认系统映像中的帐户，例如Amazon EC2用户）。可以独立生成被创建的用户时，这些密钥通常生成，或者，并且必须严格控制，以防止未经授权的访问到的任何帐户，尤其是管理员或用户根访问。
　　作为特权用户管理的一部分，安全团队和操作人员必须确保密钥在内部和云中受到保护。理想情况下，密钥应位于硬件安全模块或专用于控制加密密钥的其他高度安全的平台中。当开发者需要的按键集成在您的频道实现工具应该用来保护此敏感信息，如加密包Ansible库或厨师。
　　为了确保这些特权帐户不被滥用，安全团队必须收集和监控云环境中可用的记录，并使用集成的工具，如AWS Cloudtrail或工具和服务，企业注册和监控事件。

微软云

IT采购

弱电工程

系统集成

客户故事

蓝盟云服务，如何管理云中特权用户的管理？

400-635-8089