雲端創造了全新的情境,讓我們必須重新定義特權存取管理(PAM)。PAM的基本概念不僅在管理身分更要保護身分以維護公司資產。最小特權、基於角色的存取控制,以及高風險連線的可稽核性等原則不變,挑戰在於如何將這些原則應用於雲端環境。
在本地數據中心劃分資安責任相對簡單,因為可以在每個基礎設施層次中劃出清晰的界線,但無論是在混合環境中操作(將工作轉移到雲端)還是採用雲端原生方法(使用微服務架構建立應用系統),這些分隔線和權責分離在雲端環境中完全消失。
根據CyberArk對三大主要CSP的分析顯示,一個用戶可以存取大約1,400個雲原生服務,衍生出總共40,000種不同的存取控制類型,而且這數字每天都在成長。
傳統應用程式在管理者和使用者之間有簡單、明確的界限,一般用戶通常無法存取敏感系統和資料。但任何擁有雲端存取權限的人都可以獲得使用1,400項原生服務的權利,更別提這些服務還包含一系列如工作流程引擎、視訊處理和即時通訊等SaaS服務。任何有權購買和使用以上服務的人都被視為管理者。
此外,還出現了全新的「管理者」類型:軟體開發者。幾乎所有現代軟體開發工具和流程都在雲端作業,最終的軟體也部署在雲端,於是所有軟體開發人員現在都被視為雲端「管理者」。
有77%的資安專家表示,開發人員擁有太多特權,這些身分成為攻擊者的理想目標。這些寬鬆的權限設定是為了加速排除用戶可能面臨的不便,因為之前的系統缺乏彈性且較為靜態,但開發者需要創新,他們無法等待每個服務或任務都要新增一個共享帳號,特別是臨時需要的權限,這會嚴重耽誤開發時程。
微服務的興起帶來了驚人的效率,同時節省成本。然而,它也為雲端原生應用創造出錯綜複雜的相互依賴網。雲端微服務架構所導致的新情況是,中斷會影響所有客戶,當任何系統出現不穩定或中斷時,值班工程師必須被允許在整個環境中穿梭,以便進行故障排除並解決問題。
在這些情境下,需要新方法來落實零信任原則,同時維持開發速度,零常設特權(Zero Standing Privileges,ZSP)就是答案。ZSP系統在用戶未使用時完全刪除與任何用戶關連的所有授權,但根據情況,動態為用戶即時提供剛好的權限。此外,ZSP系統排除了橫向移動的可能性,對內嵌帳密憑據等秘密資訊也同樣有效。
資安專業人員必須在維持開發者、DevOps和IT開發速度的同時,將存取範圍和風險最小化。藉由防止帳密憑據竊取和限制橫向移動,讓企業充分發揮雲端的效益,ZSP是實現這些目標的最可行方法。
<本文作者:謝文駿現為CyberArk北亞區總監>