一、营业需求
在公有云建树早期,账号安详打点首要是依靠云自身的打点。比及公有云建树中期的时辰,公有云可以通过云产物基线对账号体系举办搜查,譬喻:云主账号开启双身分认证,暗码计策轮换,监控AK泄漏等安详相干的基线来完成监视。主机层面会行使主机安详基线做账号以及暗码相干的搜查。可是,我们会发明云端打点好用户特权账号,只是账号安详打点生掷中的一小部门,许多特权账号散落在用户登录云管端的条记本电脑中,许多开拓时代的应用措施毗连账号暗码都硬编码到了设置文件等处所…,特权账号行使静态暗码,对账号缺乏有用的打点、监控、企业很轻易蒙受进攻,同时许多合规搜查也要求对企业特权账号要监视。
- 无法可视化打点,很难知道有几多账号资产以及谁在行使。
- 很难保障特权暗码的安详性。
- 无法看到谁在用谁人账号做什么,没法节制特权账号的权限。
二、云原始账号打点办理方案
起主要自动扫描、定位全部账号,对账号打点有一个全面的相识。行使暗码保管库同一打点账号,同时通过署理登岸的方法对账号操纵举办记录,最终说明出账号非常行使环境。
我们先假定一个用户场景,约莫有200台云主机、100台docker,打点这些特权帐户的安详是一项伟大的事变,跟踪全部的改观,确保每台处事器ssh key 陈设是颠末审批的,并记录下来以便举办恒久说明和审计。
1. 账号扫描引擎
- 必要在云主机当地陈设主机安详Agent通盘网络用户账号信息,以及散落在角落中的ssh key等信息,(依靠相关,建设日期)。
- 扫描应用体系,查察是否存在应用措施剧本、设置文件和软件代码中的硬编码凭据。
- 通过客户端登岸措施扫描登岸云主机的终端是否存在营业体系的key可能账号暗码。
2. 企业级暗码保管库
(1) 通过web节制台,打点员可以通过REST API 配置成立初始化账号计策(譬喻:配置计策以成立凭据强度以及轮换频率、共享账号计策)。
(2) 通过账号署理措施,细粒度的节制特权会见,存储会见记录。
(3) 提供账号行使合规陈诉。
- 账号最小权限说明陈诉。
- 账号行使范畴可视化陈诉。
- 账号审计陈诉。
3. 账号威胁说明
- 说明引擎对用户、实体和收集流量运行多种伟大的专用算法(包罗确定性算法和基于举动的算法),针对进攻者会假意成授权内部用户,及时发明进攻并自动做出相应,以便在整个进攻生命周期的早期发明进攻迹象。通过尽早发明进攻,安详团队就有了更多名贵时刻来在造成营业间断之前终止进攻。
- 与SIEM办理方案的双向集成**使安详团队可以操作现有的SIEM陈设来汇总数据,举办有针对性的说明,并发出预警来为涉及特权账户的变乱分派优先级。
三、体系架构
简述:
- 本办理方案支持公有如此主机、云物理机、IDC托管物理处事器,应对用户多云陈设的环境。
- 针对企业级秘钥打点库,我们为每个租户开启一台假造的云加密托管处事,确保公有云运营方对用户的凭据滥用的环境。
(1) 秘钥安详性保障
- 假造云加密机初始化是由公有云给租户邮寄USB key
- 用户在本身的VPC情形中架设VPNServer,通过VPN毗连租户VPC情形中。
- 在公有云平台上开通假造云加密机处事,云加密物理机通过公有云收集中peer方法映射到租户VPC情形中,行使USBkey举办初始化。
(2) 秘钥生命周期打点
- 登岸秘钥打点节制台,用户申请ssh key,以及要登岸的云主机可能物理机。颠末审批后,主机安详Agent会分发SSH key到云主机可能物理机上。
- 行使进程中,安详Agent会扫描、监控、审计整个进程。
- 当秘钥必要烧毁的时辰,到秘钥打点节制台申请,审批后,主机安详Agent会删除对应主机上的SSH key。
(3) 安详威胁说明
- 通过主机安详Agent来举办SSH key扫描,可以说明出当前租户情形中的SSHkey散落环境而且给出合规陈诉。
- 通过主机安详Agent记录登岸环境,账号审计数据上传到态势感知安详运营平台,通过UEBA模块做大数据说明。给出相应的安详告警
四、总结
本文先容了云原生账号安详打点项目,但愿在现实安详运营进程中有所辅佐。 (编辑:河北网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|