精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

對于在云中進行操作的企業(yè)來說，特權用戶管理是非常重要的。專家Dave Shackleford在本文中介紹了一些最佳做法以幫助確保云訪問控制的安全性。

很多企業(yè)正試圖針對他們雇員所使用的各種云應用和服務來確保用戶賬戶的安全性，其中的原因很合理：越來越多的攻擊者通過諸如網絡釣魚攻擊和驅動下載等方法將云賬戶和登陸憑據作為攻擊目標，以求獲得訪問企業(yè)數據的權限。雖然企業(yè)用戶已經非常注意對用戶賬戶的保護，但是如果root賬戶和管理員賬戶被攻破，那么所帶來對企業(yè)的破壞性影響將是更為驚人的。

例如，讓我們來看看Code Spaces的例子，這家公司的亞馬遜網絡服務（AWS）管理門戶是在2014年被入侵的。一旦攻擊者進行訪問，公司的整個基礎設施架構就赤裸裸地暴露在攻擊者面前，這最終導致了企業(yè)的倒閉。那么，企業(yè)用戶應當如何保護與其環(huán)境相關聯的特權賬戶，并實施強大的特權用戶管理呢？

在大多數的基礎設施即服務（IaaS）云中，存在著若干種形式的管理員訪問或root訪問。在默認情況下，IaaS環(huán)境需要系統(tǒng)創(chuàng)建一個特殊的用戶賬號作為初始管理員，這個特殊帳戶通常僅通過用戶名或者帶有密碼的電子郵件進行身份驗證。然后，這個初始管理員賬戶就可以配置環(huán)境并創(chuàng)建新的用戶和組。諸如微軟公司Active Directory之類的用戶目錄也可被鏈接至云訪問權限，從而根據企業(yè)內部角色向眾多的管理員提供云訪問權限。很多IaaS系統(tǒng)鏡像或模板也都包括了一個默認的用戶賬戶，這個賬戶擁有相應的特權。在AWS Machine Images中，這個默認的用戶賬戶就是“ec2-user”。

特權用戶管理的基本概念

首先，企業(yè)組織應當重新審視特權用戶管理的核心概念，其中包括了職責分離和最低權限訪問模式。很多云供應商都提供了內置的身份驗證和訪問管理工具，這些工具允許用戶組織按照實際需要為每一個用戶和工作組創(chuàng)建不同的策略。這就讓安全團隊能夠幫助設計出符合最低特權原則的策略，即根據用戶的角色不同而賦予不同用戶能夠執(zhí)行其操作所絕對必需的權限。

對于在其應用內部不支持粒度角色和特權模式的云供應商，也許可以通過使用一個身份驗證即服務供應商來達到這一目的，這個供應商將在內部憑證存儲和云供應商環(huán)境之間代理身份認證信息，它同時也可用作一個單點登錄門戶。

對于訪問云環(huán)境的所有特權用戶賬戶而言，使用多重因素身份驗證方式應當是強制性執(zhí)行的一項措施，這一強制性措施本來完全可以防止惡意攻擊者對Code Spaces控制的初始損害。很多供應商都提供了各種各樣不同形式的多重因素訪問方法，其中包括了最終用戶端點證書、來自領先多重因素解決方案供應商的軟硬令牌、以及SMS代碼等——雖然這些方法的安全性都不盡相同，但總是聊勝于無的。

在理想情況下，擁有管理員特權的所有用戶都應在所有類型云環(huán)境中使用一個已獲批準的多重因素方法來訪問管理控制臺和任何其他敏感IT資產或服務。對于大多數企業(yè)用戶而言，軟令牌和證書一定會在實踐中被證明是特權用戶管理中最可行且最安全的選項。

最后，控制管理員訪問和root訪問的一個關鍵方面就是它們都是通過加密密鑰的管理與監(jiān)控來實現的。大多數的管理員賬戶（尤其是那些默認系統(tǒng)鏡像中內置的管理員賬號，例如亞馬遜實例中的ec2-user）都是需要使用私鑰來進行訪問的。這些密鑰一般都是在創(chuàng)建用戶時生成的，或者也可以獨立生成密鑰，用戶應當非常小心地做好密鑰管理以防止任何對賬戶的非法訪問，其中尤其是管理員賬戶或root用戶賬戶。

作為特權用戶管理中的一部分，安全與運行團隊應當確保密鑰在企業(yè)內部以及在云的安全性，理想情況下應當將密鑰保存在一個硬件安全模塊中或者其他專門用于控制加密密鑰的高度安全平臺中。需要將密鑰集成至部署渠道的開發(fā)人員還應當使用工程設計的成熟工具來保護這一敏感信息，例如Ansible Vault 或 Chef加密數據包。

為了確保特權用戶賬戶不被濫用，安全團隊應當在云環(huán)境中收集和監(jiān)控可用的日志，并使用諸如AWS CloudTrail之類的內置工具或商用日志記錄和事件監(jiān)控工具與服務。