激情小说:欧美久久,丁香五月天久久久,中文字幕人物动漫无码

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

簡析影子訪問（ShadowAccess）的產(chǎn)生、危害與防護

云服務(wù)的廣泛使用和“以數(shù)據(jù)為中心”的應(yīng)用增加導(dǎo)致了在大量的數(shù)據(jù)存儲中包含了隱私信息。而在訪問這些海量數(shù)據(jù)的時候，就會產(chǎn)生一個名為“影子訪問”（Shadow Access）的新威脅。

成都創(chuàng)新互聯(lián)公司專注于普蘭店企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站設(shè)計,電子商務(wù)商城網(wǎng)站建設(shè)。普蘭店網(wǎng)站建設(shè)公司,為普蘭店等地區(qū)提供建站服務(wù)。全流程按需開發(fā)網(wǎng)站，專業(yè)設(shè)計，全程項目跟蹤，成都創(chuàng)新互聯(lián)公司專業(yè)和態(tài)度為您提供的服務(wù)

從本質(zhì)上說，影子訪問就是對云數(shù)據(jù)、應(yīng)用系統(tǒng)的不受監(jiān)控、未經(jīng)授權(quán)、不可見、不安全以及被過度許可的訪問，最重要的是，它正隨著云身份、應(yīng)用程序和數(shù)據(jù)的增長而增長。影子訪問增加了云上數(shù)據(jù)泄露的風(fēng)險，并進一步引發(fā)訪問合規(guī)、審計和治理方面的風(fēng)險威脅。在企業(yè)組織中，任何形式的影子訪問都不應(yīng)該存在，其引發(fā)的后果往往會是災(zāi)難性的，并威脅到任何向云上轉(zhuǎn)型發(fā)展的組織。

云身份發(fā)展的新特性

企業(yè)需要給云中運行的所有應(yīng)用都賦予一個身份，這樣才可以安全訪問關(guān)鍵的云服務(wù)、供應(yīng)鏈或數(shù)據(jù)。因此，云應(yīng)用訪問武器化是云計算應(yīng)用發(fā)展的一個重要問題。據(jù)Verizon最新發(fā)布的《數(shù)據(jù)泄露調(diào)查報告（DBIR）》強調(diào)，80%的數(shù)據(jù)泄露與身份訪問權(quán)限異常有關(guān)。數(shù)以兆計的數(shù)據(jù)被存儲在云平臺上，這推動了對這些數(shù)據(jù)訪問的巨大需求，但是當(dāng)企業(yè)組織自動創(chuàng)建了大量的身份訪問權(quán)限時，有時卻沒有賦予任何治理措施。

開發(fā)人員和產(chǎn)品團隊正在迅速將云服務(wù)與數(shù)據(jù)結(jié)合起來，以創(chuàng)建新的應(yīng)用程序，如人工智能聊天機器人、客戶數(shù)據(jù)平臺、軟件供應(yīng)鏈和第三方SaaS。這就催生了不斷擴大的云訪問面，同時也創(chuàng)建了不可見和易受攻擊的訪問鏈，外部攻擊者可以迅速將其武器化，以竊取敏感數(shù)據(jù)。

在很多傳統(tǒng)企業(yè)中，普遍依賴IAM系統(tǒng)為身份認(rèn)證提供授權(quán)和憑證，并且會和企業(yè)的HR系統(tǒng)進行關(guān)聯(lián)。然而，隨著業(yè)務(wù)上云、生態(tài)協(xié)作、多云混合等場景涌現(xiàn)，以及移動互聯(lián)、IoT設(shè)備的普及，大量設(shè)備接入和上云讓企業(yè)身份信任邊界外延，傳統(tǒng)IAM方案已經(jīng)滿足不了現(xiàn)代企業(yè)數(shù)字化發(fā)展中的身份和訪問治理需求。

隨著云應(yīng)用日益突出，云IDP（Identity Provider，身份提供商）系統(tǒng)開始出現(xiàn)，云應(yīng)用程序并不部署在企業(yè)內(nèi)部。因此，企業(yè)需要將傳統(tǒng)的本地IAM系統(tǒng)與新一代的云IDP（如Okta、Azure AD或Ping Identity）結(jié)合或協(xié)同運行。

云計算的出現(xiàn)還引入了“云IAM”的新概念，用于預(yù)置和控制對云上資源、應(yīng)用程序和數(shù)據(jù)的訪問和授權(quán)，并且會被部署在公共云生態(tài)系統(tǒng)中。云IAM和傳統(tǒng)IAM有很大的不同，因為它主要是針對“云身份（Cloud Identities）”進行分類和檢查。首先了解下“云身份”的一些關(guān)鍵特點：

企業(yè)在云中運行的所有應(yīng)用都需要有一個身份，可以訪問關(guān)鍵的云服務(wù)、供應(yīng)鏈元素或數(shù)據(jù)。云服務(wù)提供商通過像云IAM這樣的關(guān)鍵服務(wù)控制這些身份的提供和訪問；
在云中，每個訪問請求在被授予訪問權(quán)限之前都經(jīng)過身份驗證和授權(quán)；
云身份可以是人類或非人類身份。人類身份主要是終端用戶、開發(fā)人員、DevOps和云管理員。非人類身份則是由附加到云服務(wù)、API、微服務(wù)、軟件供應(yīng)鏈、云數(shù)據(jù)平臺等的身份組成；
云的一個強大之處在于它的“可編程性”。開發(fā)人員通過編程方式組合云服務(wù)、API和數(shù)據(jù)來創(chuàng)建應(yīng)用程序，從而釋放出這種能力?，F(xiàn)代云應(yīng)用實際上是由API驅(qū)動的許多分布式服務(wù)的集合，跨越提供商及其生態(tài)系統(tǒng)。當(dāng)開發(fā)人員結(jié)合云服務(wù)時，他們創(chuàng)建了具有訪問數(shù)據(jù)路徑的自動身份；
云的另一個特性是自動化。云計算團隊使用基礎(chǔ)設(shè)施即代碼的自動化功能來輕松地啟動和定義他們的云資源、云身份及其訪問。在此過程中，一個原則是“自動化第一，治理第二”。

影子訪問的產(chǎn)生

云計算創(chuàng)造了一個“以身份為中心”的世界，圍繞它們的差異性導(dǎo)致了影子訪問的根本原因。影子訪問產(chǎn)生的根本原因不僅源于擁有云身份，還源于云驅(qū)動的身份應(yīng)用復(fù)雜性和管理流程的變化。

從復(fù)雜性的角度來看，主要包括：

數(shù)據(jù)不再存儲在單個數(shù)據(jù)存儲中。云數(shù)據(jù)存儲和數(shù)據(jù)共享應(yīng)用程序在云和SaaS環(huán)境中激增。
應(yīng)用程序并非單一的，而是由相互關(guān)聯(lián)的身份系統(tǒng)、云服務(wù)和數(shù)據(jù)組成的令人眼花繚亂的組合。
連接云生態(tài)系統(tǒng)的SaaS應(yīng)用程序的使用大幅增加。
每個云服務(wù)都有相關(guān)的權(quán)限和權(quán)利，為敏感數(shù)據(jù)和操作提供授權(quán)。
與傳統(tǒng)的本地環(huán)境相比，云環(huán)境的權(quán)限和授權(quán)規(guī)模更大，復(fù)雜程度也更高。
組織使用多云和公共/私有云環(huán)境的組合。

而流程變化主要體現(xiàn)在：

新的身份和訪問通常由開發(fā)人員使用基礎(chǔ)設(shè)施即代碼集中創(chuàng)建。
新身份的配置文件通常是從一個模板中復(fù)制的。
自動創(chuàng)建新的身份和訪問，幾乎沒有任何治理措施。
身份訪問的應(yīng)用程序不斷變化，沒有完整的訪問審查。
為了提高速度，應(yīng)用程序組件經(jīng)常被重用、復(fù)制或用于多個應(yīng)用程序。
越來越多的SaaS和第三方應(yīng)用程序沒有正式的安全審查。
應(yīng)用程序訪問的數(shù)據(jù)存儲在不斷變化。

由于云應(yīng)用程序是分布式且不斷發(fā)展的，因此一個元素的更改就可能會對整體暴露產(chǎn)生意想不到的后果。正是這種應(yīng)用程序的高度復(fù)雜和不斷發(fā)展的性質(zhì)，以及圍繞云身份創(chuàng)建和持續(xù)審查的流程中斷，導(dǎo)致了影子訪問和其他相關(guān)威脅的大規(guī)模暴露。

影子訪問的主要類型

影子訪問存在多種類型，具體是由身份（即第三方、開發(fā)人員、過期賬戶、機器身份）與訪問類型的組合創(chuàng)建的，例如休眠訪問、鏈?zhǔn)皆L問（或二次訪問）、未經(jīng)授權(quán)的訪問（通過惡意系統(tǒng)或IP）等。

不可見訪問：在某些時候，云服務(wù)控制臺沒有顯示存儲桶的有效權(quán)限，導(dǎo)致存儲桶保持打開狀態(tài)；
意外/未授權(quán)訪問：云應(yīng)用系統(tǒng)被惡意代碼植入，導(dǎo)致未授權(quán)的外部訪問處于打開狀態(tài)；
過度訪問：管理員在只需要訪問特定數(shù)據(jù)存儲或云服務(wù)的情況下，提供具有完全訪問權(quán)限的策略；
休眠訪問：具有完全訪問權(quán)限的策略在60天內(nèi)未使用，但仍可用于分配角色；
跨賬戶訪問：對于很多已經(jīng)不再是客戶的老舊身份，仍然啟用了跨賬戶共享；
高風(fēng)險訪問：客戶危急情況允許開發(fā)人員訪問資源，但在情況解決后沒有撤銷權(quán)限；
有毒組合（TOXIC COMBINATION）：通過應(yīng)用程序身份以及權(quán)限管理權(quán)限對數(shù)據(jù)存儲桶進行編程訪問；
未使用的數(shù)據(jù)：類似于休眠訪問，指的是數(shù)據(jù)在一定時間內(nèi)沒有使用，但訪問權(quán)限仍然是啟用狀態(tài)。

影子訪問的危害

影子訪問的存在會給企業(yè)造成很多災(zāi)難性后果，一個代表性的事例就是CircleCI漏洞。在此事件中，未經(jīng)授權(quán)的惡意行為者于2022年12月22日泄露了客戶信息，其中包括第三方系統(tǒng)的環(huán)境變量、密鑰和令牌。更糟糕的是，當(dāng)企業(yè)在進行事件處置時，無法準(zhǔn)確掌握這些被盜的密鑰是否已被用來攻擊他們的云賬戶，因為CircleCI或當(dāng)前任何安全工具都無法滿足這個需求。

研究人員發(fā)現(xiàn)，現(xiàn)代企業(yè)中的很多部門或人員都受到了影子訪問風(fēng)險的影響，其危害具體包括：

現(xiàn)有安全治理工具無法識別大量的云身份和訪問路徑。
影子訪問導(dǎo)致的治理和可見性缺口使得IAM 防護很難實現(xiàn)。
那些無法識別的訪問路徑讓更多漏洞被利用來破壞云數(shù)據(jù)。
威脅行為者可以將可編程訪問武器化，造成遠遠超出數(shù)據(jù)泄露的傷害。
連接到云生態(tài)系統(tǒng)的第三方和SaaS應(yīng)用程序會帶來橫向移動風(fēng)險。
影子訪問的存在造成了數(shù)據(jù)安全、審計和合規(guī)風(fēng)險，并造成了政策和治理缺口。

影子訪問的防護建議

為了有效應(yīng)對影子訪問的產(chǎn)生及風(fēng)險，企業(yè)必須重點解決以下三個關(guān)鍵問題：

太多的警報和安全工具：很多企業(yè)使用了太多的身份認(rèn)證工具，這些工具會產(chǎn)生太多的安全警告，但是這根本無法防止云上的數(shù)據(jù)泄露和盜竊。
數(shù)據(jù)分散導(dǎo)致的可見性確實：當(dāng)前的安全工具缺乏對統(tǒng)一身份管理的全局可見性，因為這些數(shù)據(jù)分布在不同的工具中，包括云IAM、云IDP、基礎(chǔ)設(shè)施即代碼、數(shù)據(jù)存儲和HR系統(tǒng)。而訪問管理措施也分散在票務(wù)系統(tǒng)、電子郵件、電子表格和屏幕截圖等各類應(yīng)用中。
手動、靜態(tài)的管理流程：很多企業(yè)所部署的IAM系統(tǒng)，其治理和合規(guī)管理還是手動的、靜態(tài)的，甚至還是在依靠電子表格、截圖和電子郵件來收集有關(guān)誰有權(quán)訪問哪些數(shù)據(jù)、誰正在訪問哪些數(shù)據(jù)以及訪問方式的變化。

研究人員建議，企業(yè)應(yīng)該立即建立以下舉措來應(yīng)對：

建立“萬物訪問（all things access）”的單一事實來源，通知基于風(fēng)險的訪問控制，以保護數(shù)據(jù)和云的治理。
全面整合IAM系統(tǒng)的各類型數(shù)據(jù)，以獲得云IAM操作所需的跨身份、訪問、數(shù)據(jù)狀態(tài)和治理的連接上下文。
實現(xiàn)自動、準(zhǔn)確和及時地報告數(shù)據(jù)訪問，簡化云訪問審計流程，并使治理形成閉環(huán)，以控制跨開發(fā)和生產(chǎn)環(huán)境的數(shù)據(jù)盜竊訪問。

參考鏈接：

https://stackidentity.com/shadow-access-in-your-cloud/。

https://stackidentity.com/wp-content/uploads/2023/05/Stack_Identity_ShadowAccess_Ebook_Final.pdf。

分享題目：簡析影子訪問（ShadowAccess）的產(chǎn)生、危害與防護
瀏覽路徑：http://www.dlmjj.cn/article/cdpgggd.html