日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

根據(jù)云計(jì)算安全聯(lián)盟(CSA)最近發(fā)布的一份調(diào)查報(bào)告，在云計(jì)算面臨的11種最大威脅中，配置錯(cuò)誤和變更控制不足排在第二位，僅次于數(shù)據(jù)泄露。

十年的港南網(wǎng)站建設(shè)經(jīng)驗(yàn)，針對設(shè)計(jì)、前端、開發(fā)、售后、文案、推廣等六對一服務(wù)，響應(yīng)快，48小時(shí)及時(shí)工作處理。全網(wǎng)營銷推廣的優(yōu)勢是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動(dòng)調(diào)整港南建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì)，從而大程度地提升瀏覽體驗(yàn)。創(chuàng)新互聯(lián)從事“港南網(wǎng)站設(shè)計(jì)”,“港南網(wǎng)站推廣”以來，每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

Capital One公司的數(shù)據(jù)泄漏事件就是一個(gè)很好的例子，該事件導(dǎo)致該公司1.06億張信用卡客戶和申請人的數(shù)據(jù)泄露。網(wǎng)絡(luò)攻擊者利用了開放源Web應(yīng)用程序防火墻(WAF)中的一個(gè)漏洞，該漏洞被用作銀行基于AWS云平臺操作的一部分。

通過這個(gè)漏洞，網(wǎng)絡(luò)攻擊者可以獲取憑據(jù)以訪問Web應(yīng)用程序防火墻(WAF)以訪問所有資源。不幸的是，Web應(yīng)用程序防火墻(WAF)被賦予了過多的權(quán)限，也就是說，網(wǎng)絡(luò)攻擊者可以訪問任何數(shù)據(jù)桶中的所有文件，并讀取這些文件的內(nèi)容。這使得網(wǎng)絡(luò)攻擊者能夠訪問存儲敏感數(shù)據(jù)的S3存儲桶。

減輕這種身份濫用的最有效方法是執(zhí)行最低特權(quán)原則。在理想情況下，每個(gè)用戶或應(yīng)用程序應(yīng)僅限于所需的確切權(quán)限。

實(shí)施最低特權(quán)的第一步是了解已授予用戶(無論是人員還是機(jī)器)或應(yīng)用程序哪些權(quán)限。下一步是映射所有實(shí)際使用的權(quán)限。兩者之間的比較揭示了權(quán)限差距，從而暴露了應(yīng)保留的權(quán)限和應(yīng)撤銷的權(quán)限。因此必須定期連續(xù)執(zhí)行這一過程，以保持一段時(shí)間內(nèi)的最小特權(quán)。

為了說明這個(gè)過程如何在云平臺中工作，以主流的AWS云平臺為例，并且提供可用的細(xì)粒度身份和訪問管理(IAM)系統(tǒng)之一。AWS身份和訪問管理(IAM)是一個(gè)功能強(qiáng)大的工具，它允許管理員安全地配置超過2500個(gè)權(quán)限，以實(shí)現(xiàn)對給定資源可以執(zhí)行哪些操作的細(xì)粒度進(jìn)行控制。

步驟1：檢查附加政策

第一步是檢查直接附加到用戶的策略。有兩種類型的策略：

• 托管策略有兩種類型：由云計(jì)算服務(wù)提供商(CSP)創(chuàng)建和管理的AWS托管策略，以及(組織可以在其AWS帳戶中創(chuàng)建和管理的客戶托管策略。與AWS托管策略相比，客戶托管策略通常提供更精確的控制。
• 內(nèi)聯(lián)策略，由AWS客戶創(chuàng)建并嵌入在身份和訪問管理(IAM)標(biāo)識(用戶、組或角色)中。當(dāng)最初創(chuàng)建或稍后添加身份時(shí)，可以將它們嵌入標(biāo)識中。

步驟2：分析身份和訪問管理(IAM)組

下一步是檢查用戶所屬的每個(gè)身份和訪問管理(IAM)組。這些還具有附加策略，可以間接授予用戶訪問其他資源的權(quán)限。就像用戶本身一樣，組可以附加到托管策略和內(nèi)聯(lián)策略。

步驟3：映射身份和訪問管理(IAM)角色

現(xiàn)在，所有附加到用戶的身份和訪問管理(IAM)角色都需要映射。角色是另一種類型的標(biāo)識，可以使用授予特定權(quán)限的關(guān)聯(lián)策略在組織的AWS帳戶中創(chuàng)建。它類似于身份和訪問管理(IAM)用戶，但其角色可以分配給需要其權(quán)限的任何人，而不是與某個(gè)人唯一關(guān)聯(lián)。角色通常用于授予應(yīng)用程序訪問權(quán)限。

步驟4：調(diào)查基于資源的策略

接下來，這一步驟的重點(diǎn)從用戶策略轉(zhuǎn)移到附加到資源(例如AWS存儲桶)的策略。這些策略可以授予用戶直接對存儲桶執(zhí)行操作的權(quán)限，而與現(xiàn)有的其他策略(直接和間接)無關(guān)。對所有AWS資源及其策略(尤其是包含敏感數(shù)據(jù)的策略)進(jìn)行全面審查非常重要。

步驟5：分析訪問控制列表

在策略審查完成之后，分析應(yīng)該移至鏈接到每個(gè)資源的訪問控制列表(ACL)。這些類似于基于資源的策略，并允許控制其他帳戶中的哪些身份可以訪問該資源。由于不能使用訪問控制列表(ACL)來控制同一帳戶中身份的訪問，因此可以跳過與該用戶相同帳戶中擁有的所有資源。

步驟6：查看權(quán)限邊界

在這一步驟中，需要檢查每個(gè)用戶的權(quán)限邊界。這是一項(xiàng)高級功能，用于定義用戶、組或角色可能具有的最大權(quán)限。換句話說，用戶的權(quán)限邊界基于附加的策略和權(quán)限邊界定義了允許他們執(zhí)行的動(dòng)作。重要的是要注意權(quán)限邊界不會(huì)以相同的方式影響每個(gè)策略。例如，基于資源的策略不受權(quán)限邊界的限制，這些策略中的任何一個(gè)明確拒絕都將覆蓋允許。

步驟7：檢查服務(wù)控制策略

最后，有必要檢查服務(wù)控制策略(SCP)。從概念上講，這些權(quán)限類似于在AWS賬戶中所有身份(即用戶、組和角色)上定義的權(quán)限邊界。服務(wù)控制策略(SCP)在AWS組織級別定義，并且可以應(yīng)用于特定帳戶。

強(qiáng)制最小權(quán)限訪問

正如人們所看到的，在云中保護(hù)身份和數(shù)據(jù)是一項(xiàng)挑戰(zhàn)，隨著組織擴(kuò)展其云計(jì)算足跡而變得越來越復(fù)雜。在許多情況下，用戶和應(yīng)用程序往往會(huì)積累遠(yuǎn)遠(yuǎn)超出其技術(shù)和業(yè)務(wù)要求的權(quán)限，這會(huì)導(dǎo)致權(quán)限差距。

通常，在像AWS云平臺這樣的復(fù)雜環(huán)境中，確定每個(gè)用戶或應(yīng)用程序所需的精確權(quán)限所需的工作成本高昂，而且無法擴(kuò)展。即使是諸如了解授予單個(gè)用戶的權(quán)限之類的簡單任務(wù)也可能非常困難。

為了使其中一些流程實(shí)現(xiàn)自動(dòng)化， AWS公司幾年前發(fā)布了一個(gè)名為Policy Simulator的工具，該工具使管理員可以選擇任何AWS實(shí)體(即IAM用戶、組或角色)和服務(wù)類型(例如關(guān)系型數(shù)據(jù)庫服務(wù)或S3存儲桶)，并自動(dòng)評估特定服務(wù)的用戶權(quán)限。

盡管Policy Simulator是一個(gè)很棒的工具，但并不十分成熟。例如，Policy Simulator不會(huì)檢查用戶可能承擔(dān)的所有角色及其策略(步驟3)。它還不考慮訪問控制列表(ACL)(步驟5)或權(quán)限邊界(步驟6)。在大多數(shù)情況下，組織被迫執(zhí)行人工策略管理或編寫專有腳本。

如人們所見，在云計(jì)算環(huán)境中管理身份和訪問以實(shí)施最低特權(quán)策略非常復(fù)雜，需要大量人工工作，并且成本高昂。由于這門學(xué)科還處于起步階段，因此缺少云平臺提供商提供的可靠的原生工具。在通常情況下，第三方解決方案正在填補(bǔ)市場空白。

分享題目：避免頂級云訪問風(fēng)險(xiǎn)的7個(gè)步驟
本文來源：http://www.dlmjj.cn/article/dhcchhh.html