根據(jù)微軟的說法，工作負(fù)載身份、超級管理員和過度許可的激增正在增加運行云基礎(chǔ)設(shè)施的組織的網(wǎng)絡(luò)風(fēng)險。

這家科技巨頭的《2023年云權(quán)限風(fēng)險狀況》報告計算出，主要云平臺可以授予4萬多個權(quán)限，其中一半以上是高風(fēng)險的。

其中權(quán)限是指授予用戶或機器以使其能夠訪問特定資源的授權(quán)。不幸的是，缺乏對這些授權(quán)的可見性和控制可能會使組織面臨云安全漏洞和濫用的風(fēng)險。

微軟發(fā)現(xiàn)，用戶和工作負(fù)載身份僅使用了日常工作功能所授予的1%的權(quán)限。此外，超過一半(50%)的身份被定義為超級身份，這意味著他們可以訪問所有權(quán)限和所有資源。超過60%的身份是不活躍的。

考慮到超級身份可以創(chuàng)建和修改服務(wù)配置設(shè)置，添加或刪除身份，以及訪問或刪除數(shù)據(jù)，實際使用的權(quán)限不到2%，這是值得關(guān)注的。

最大的風(fēng)險在于機器身份，而不是人類身份。微軟身份識別部門的項目管理首席副總裁亞歷克斯·西蒙斯(Alex Simons)表示：“基于云計算的工作負(fù)載身份(包括應(yīng)用程序、虛擬機、腳本、容器和服務(wù))的數(shù)量呈指數(shù)級增長，現(xiàn)在已經(jīng)是人類身份的10倍。”

他補充說：“自2021年以來，非活動工作負(fù)載標(biāo)識的平均百分比(80%)翻了一番，工作負(fù)載標(biāo)識使用的權(quán)限不到5%?！?/strong>

Simons總結(jié)道:“要想縮小權(quán)限差距并減少權(quán)限濫用的風(fēng)險，組織就需要實施最小權(quán)限原則?！?/p>

跨多云環(huán)境的所有人員和工作負(fù)載身份必須一致地發(fā)生這種情況。通過采用云基礎(chǔ)設(shè)施授權(quán)管理(CIEM)解決方案，組織可以在云規(guī)模上實現(xiàn)這一目標(biāo)，持續(xù)發(fā)現(xiàn)、修復(fù)和監(jiān)控跨多云的每個唯一用戶和工作負(fù)載身份的活動。

微軟的報告還對云基礎(chǔ)設(shè)施客戶提出了以下四點建議，分別是在有限的時間內(nèi)按需授予權(quán)限，或在需要的基礎(chǔ)上支持最少的特權(quán)。評估權(quán)限風(fēng)險并確定哪個身份在何時何地做了什么。持續(xù)監(jiān)控跨云的權(quán)限使用情況。以及確保生命周期監(jiān)控，以改善安全態(tài)勢，節(jié)省安全團(tuán)隊的時間。

標(biāo)簽：