大多數(shù)組織無(wú)法完全了解用戶(hù)在云計(jì)算環(huán)境中可以做什么。他們不知道誰(shuí)可以假冒其他身份來(lái)升級(jí)權(quán)限,或者將能夠獲得哪些權(quán)限——缺乏洞察力可能會(huì)使組織的業(yè)務(wù)面臨風(fēng)險(xiǎn)。
Netskope公司高級(jí)安全研究員Colin Estep大約一年前開(kāi)始研究谷歌云平臺(tái)中的潛在安全漏洞。他試圖了解組織如何評(píng)估其完整身份和訪(fǎng)問(wèn)管理(IAM)泄露,從而能夠回答這樣一個(gè)問(wèn)題:你知道用戶(hù)在你的云計(jì)算環(huán)境中可以做什么嗎?
Estep說(shuō),“總的來(lái)說(shuō),對(duì)于任何一個(gè)云平臺(tái),我都很感興趣。而對(duì)于提出的這個(gè)真正基本的問(wèn)題,沒(méi)有人能夠真正回答。很多人的回答是,‘不,我不知道每個(gè)用戶(hù)都能做什么。我不知道其全部功能是什么。’”
他表示,云平臺(tái)中的身份和訪(fǎng)問(wèn)管理(IAM)的普遍問(wèn)題源于云計(jì)算環(huán)境的動(dòng)態(tài)性質(zhì)。不斷變化的資源、正在興起的新服務(wù),以及云計(jì)算技術(shù)快速發(fā)展,使組織很難及時(shí)了解這些新服務(wù)的含義、它們的工作方式,以及對(duì)云中各種資源權(quán)限的含義。
Estep解釋說(shuō):“這只是一件令人關(guān)注的事情。身份驗(yàn)證確實(shí)是關(guān)鍵領(lǐng)域之一,因?yàn)槿绻麤](méi)有身份和訪(fǎng)問(wèn)管理(IAM)解決方案,那么可能會(huì)泄露敏感數(shù)據(jù)、濫用或刪除資源。而在云計(jì)算環(huán)境中,各種事情都可能發(fā)生。”
Netskope公司以往一直采用AWS 云平臺(tái),由于該公司為了滿(mǎn)足增加的客戶(hù)需求而開(kāi)始采用谷歌云平臺(tái)。Estep發(fā)現(xiàn)谷歌云平臺(tái)很有趣,并且在結(jié)構(gòu)和授予員工權(quán)限的方式上與AWS 云平臺(tái)有所不同。
他解釋說(shuō):“我覺(jué)得谷歌云平臺(tái)在設(shè)計(jì)布局時(shí)考慮了更多的問(wèn)題……他們?cè)谠朴?jì)算環(huán)境中有一個(gè)層次結(jié)構(gòu),用戶(hù)可以在這個(gè)層次結(jié)構(gòu)中分配權(quán)限。”谷歌云平臺(tái)也沒(méi)有設(shè)置“拒絕”政策。Estep表示,雖然谷歌云平臺(tái)試圖簡(jiǎn)化權(quán)限策略,但當(dāng)管理員必須將不同的層放在一起以弄清楚到底發(fā)生了什么時(shí),事情將可能會(huì)變得復(fù)雜。
這也是他決定將研究重點(diǎn)放在谷歌云平臺(tái)上的部分原因,這也是他將在即將舉辦的歐洲黑帽大會(huì)上發(fā)布“谷歌云平臺(tái)中的許可挖掘”演講報(bào)告的主題。
Estep說(shuō),“如果攻擊者獲得更多訪(fǎng)問(wèn)權(quán)限,最糟糕的情況是什么?這難以想像。”作為研究的一部分,他開(kāi)發(fā)了一個(gè)概念驗(yàn)證工具(PoC),供組織學(xué)習(xí)在云計(jì)算環(huán)境中授予員工的權(quán)限。當(dāng)這個(gè)工具在生產(chǎn)環(huán)境中使用時(shí),其應(yīng)用結(jié)果比他預(yù)期的要糟糕。例如,發(fā)現(xiàn)了云平臺(tái)的擁有者不知道有多少用戶(hù)實(shí)際上是“影子管理員”的情況,這意味著他們可以升級(jí)權(quán)限,直到在組織級(jí)別上對(duì)云計(jì)算環(huán)境擁有完全的控制能力。Estep解釋說(shuō),谷歌云平臺(tái)有一個(gè)“組織”的概念,它是云計(jì)算環(huán)境的最高層,擁有組織管理級(jí)別的員工將會(huì)繼承所有級(jí)別的管理功能。
他說(shuō):“獲得這些權(quán)限的員工可以進(jìn)入云平臺(tái),更改日志記錄、創(chuàng)建資源、刪除內(nèi)容、訪(fǎng)問(wèn)所有數(shù)據(jù),為自己添加用戶(hù)。除了刪除整個(gè)環(huán)境,他們可以做所有事情。”
通過(guò)了解誰(shuí)擁有哪些權(quán)限,組織可以在發(fā)生數(shù)據(jù)泄露或其他安全事件發(fā)生之前消除風(fēng)險(xiǎn)。
服務(wù)驅(qū)動(dòng)的復(fù)雜性降低了可見(jiàn)性
Estep指出,谷歌公司一直在關(guān)注這個(gè)問(wèn)題,該公司在身份驗(yàn)證與授權(quán)方面做得很好。然而,云計(jì)算提供商之間存在一個(gè)廣泛的問(wèn)題,即提供更多的服務(wù)會(huì)提高復(fù)雜性。許多云計(jì)算提供商并沒(méi)有為客戶(hù)簡(jiǎn)化流程,而是創(chuàng)建更多的服務(wù),并以某種方式解決其復(fù)雜性問(wèn)題。
他以附加的控件為便,這些控件聲明權(quán)限只能在特定情況下或在組織的特定部分中使用。但是,由于這些控件可能屬于不同的服務(wù),因此超出了正常權(quán)限。這為管理員查詢(xún)用戶(hù)的權(quán)限以查看他們能夠訪(fǎng)問(wèn)的內(nèi)容帶來(lái)了問(wèn)題。
Estep解釋說(shuō):“這并不是全部,因?yàn)檫@些外部控件會(huì)對(duì)它們產(chǎn)生一定的影響。這些帶來(lái)了更多復(fù)雜性的問(wèn)題并非谷歌云平臺(tái)獨(dú)有。現(xiàn)在更讓人頭疼的是,作為用戶(hù)必須考慮到這一點(diǎn),也許他們不知道存在這些問(wèn)題。”
解決方案成為焦點(diǎn)
Estep指出,谷歌云平臺(tái)有許多層次結(jié)構(gòu)和權(quán)限。為了理解這些,管理員必須同時(shí)查看所有層,這在控制臺(tái)中很難做到。其解決方案旨在為組織提供一種簡(jiǎn)單的方法來(lái)規(guī)劃授予成員的權(quán)限、谷歌云平臺(tái)環(huán)境結(jié)構(gòu)和服務(wù)帳戶(hù)。
他說(shuō),“這個(gè)項(xiàng)目最初是一個(gè)PoC,我想知道是否能回答‘知道所有用戶(hù)都能做什么嗎’這個(gè)問(wèn)題。”Netskope公司開(kāi)發(fā)的解決方案將在BHEU發(fā)布,可以檢查用戶(hù)及其權(quán)限,以了解可以模擬哪些服務(wù)帳戶(hù)。
該解決方案使用圖表來(lái)映射實(shí)體和關(guān)系,以便管理員可以查看哪些權(quán)限已附加到谷歌云平臺(tái)用戶(hù)。一旦通過(guò)API調(diào)用獲取了相關(guān)數(shù)據(jù),該圖表就會(huì)以一種易于理解的方式映射出管理員需要的信息。雖然Estep最初不想使用圖形,但這是同時(shí)考慮許多不同層的最佳方法。
Estep表示,雖然沒(méi)有考慮其他服務(wù)的解決可見(jiàn)性問(wèn)題的這種方法并不成熟,但希望將來(lái)集成這種功能。
他說(shuō),“我們首先將所有權(quán)限匯總在一起,然后可以開(kāi)始添加。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)