<option id="8g0gg"></option>

公司新聞

互聯(lián)網(wǎng)+

云計算

域名資訊

新聞中心

當前位置：網(wǎng)站首頁 > 新聞中心

云原生賬號安全管理

作者飛帆網(wǎng)絡　信息來源：m.dnfwgo.cn 　添加時間 2020年02月　返回

一、業(yè)務需求在公有云建設早期，賬號安全管理主要是依賴云自身的管理。等到公有云建設中期的時候，公有云可以通過云產(chǎn)品基線對賬號系統(tǒng)進行檢查，例如：云主賬號開啟雙因素認證，密碼策略輪換，監(jiān)控AK泄露等安全相關的基線來完成監(jiān)督。主機層面會使用主機安全基線做賬號以及密碼相關的檢查。但是，我們會發(fā)現(xiàn)云端管理好用戶特權賬號，只是賬號安全管理生命中的一小部分，很多特權賬號散落在用戶登錄云管端的筆記本電腦中，很多開發(fā)期間的應用程序連接賬號密碼都硬編碼到了配置文件等地方…，特權賬號使用靜態(tài)密碼，對賬號缺乏有效的管理、監(jiān)控、企業(yè)很容易遭受攻擊，同時很多合規(guī)檢查也要求對企業(yè)特權賬號要監(jiān)督。無法可視化管理，很難知道有多少賬號資產(chǎn)以及誰在使用。很難保障特權密碼的安全性。無法看到誰在用那個賬號做什么，沒法控制特權賬號的權限。二、云原始賬號管理解決方案首先要自動掃描、定位所有賬號，對賬號管理有一個全面的了解。使用密碼保管庫統(tǒng)一管理賬號，同時通過代理登陸的方式對賬號操作進行記錄，最終分析出賬號異常使用情況。我們先假定一個用戶場景，大約有200臺云主機、100臺docker，管理這些特權帳戶的安全是一項復雜的工作，跟蹤所有的變更，確保每臺服務器ssh key 部署是經(jīng)過審批的，并記錄下來以便進行長期分析和審計。 1. 賬號掃描引擎需要在云主機本地部署主機安全Agent全盤收集用戶賬號信息，以及散落在角落中的ssh key等信息，(依賴關系，創(chuàng)建日期)。掃描應用系統(tǒng)，查看是否存在應用程序腳本、配置文件和軟件代碼中的硬編碼憑證。通過客戶端登陸程序掃描登陸云主機的終端是否存在業(yè)務系統(tǒng)的key或者賬號密碼。2. 企業(yè)級密碼保管庫 (1) 通過web控制臺，管理員可以通過REST API 設置建立初始化賬號策略(例如：設置策略以建立憑證強度以及輪換頻率、共享賬號策略)。 (2) 通過賬號代理程序，細粒度的控制特權訪問，存儲訪問記錄。 (3) 提供賬號使用合規(guī)報告。賬號最小權限分析報告。賬號使用范圍可視化報告。賬號審計報告。3. 賬號威脅分析分析引擎對用戶、實體和網(wǎng)絡流量運行多種復雜的專用算法(包括確定性算法和基于行為的算法)，針對攻擊者會假冒成授權內(nèi)部用戶，實時發(fā)現(xiàn)攻擊并自動做出響應，以便在整個攻擊生命周期的早期發(fā)現(xiàn)攻擊跡象。通過盡早發(fā)現(xiàn)攻擊，安全團隊就有了更多寶貴時間來在造成業(yè)務中斷之前終止攻擊。與SIEM解決方案的雙向集成**使安全團隊可以利用現(xiàn)有的SIEM部署來匯總數(shù)據(jù)，進行有針對性的分析，并發(fā)出預警來為涉及特權賬戶的事件分配優(yōu)先級。三、系統(tǒng)架構簡述：本解決方案支持公有云云主機、云物理機、IDC托管物理服務器，應對用戶多云部署的情況。針對企業(yè)級秘鑰管理庫，我們?yōu)槊總€租戶開啟一臺虛擬的云加密托管服務，確保公有云運營方對用戶的憑證濫用的情況。(1) 秘鑰安全性保障虛擬云加密機初始化是由公有云給租戶郵寄USB key 用戶在自己的VPC環(huán)境中架設VPNServer，通過VPN連接租戶VPC環(huán)境中。在公有云平臺上開通虛擬云加密機服務，云加密物理機通過公有云網(wǎng)絡中peer方式映射到租戶VPC環(huán)境中，使用USBkey進行初始化。(2) 秘鑰生命周期管理登陸秘鑰管理控制臺，用戶申請ssh key，以及要登陸的云主機或者物理機。經(jīng)過審批后，主機安全Agent會分發(fā)SSH key到云主機或者物理機上。使用過程中，安全Agent會掃描、監(jiān)控、審計整個過程。當秘鑰需要銷毀的時候，到秘鑰管理控制臺申請，審批后，主機安全Agent會刪除對應主機上的SSH key。(3) 安全威脅分析通過主機安全Agent來進行SSH key掃描，可以分析出當前租戶環(huán)境中的SSHkey散落情況并且給出合規(guī)報告。通過主機安全Agent記錄登陸情況，賬號審計數(shù)據(jù)上傳到態(tài)勢感知安全運營平臺，通過UEBA模塊做大數(shù)據(jù)分析。給出響應的安全告警四、總結本文介紹了云原生賬號安全管理項目，希望在實際安全運營過程中有所幫助。

上一篇 12大主流云安全威脅下一篇過去的7天里，注冊了超過1000個與Libra相關的域名……

您好，歡迎來到淄博飛帆信息技術有限公司！

網(wǎng)站開發(fā)

新聞動態(tài)

成功案例

網(wǎng)站建設

有問必答

關于我們