雲原生賬號安全管理

一、業務需求

在公有雲建設早期，賬號安全管理主要是依賴雲自身的管理。等到公有雲建設中期的時候，公有雲可以通過雲產品基線對賬號系統進行檢查，例如：雲主賬號開啟雙因素認證，密碼策略輪換，監控ak洩露等安全相關的基線來完成監督。主機層面會使用主機安全基線做賬號以及密碼相關的檢查。但是，我們會發現雲端管理好使用者特權賬號，只是賬號安全管理生命中的一小部分，很多特權賬號散落在使用者登入雲管端的膝上型電腦中，很多開發期間的應用程式連線賬號密碼都硬編碼到了配置檔案等地方…，特權賬號使用靜態密碼，對賬號缺乏有效的管理、監控、企業很容易遭受攻擊，同時很多合規檢查也要求對企業特權賬號要監督。

無法視覺化管理，很難知道有多少賬號資產以及誰在使用。

很難保障特權密碼的安全性。

無法看到誰在用那個賬號做什麼，沒法控制特權賬號的許可權。

二、雲原始賬號管理解決方案

首先要自動掃瞄、定位所有賬號，對賬號管理有乙個全面的了解。使用密碼保管庫統一管理賬號，同時通過**登陸的方式對賬號操作進行記錄，最終分析出賬號異常使用情況。

我們先假定乙個使用者場景，大約有200臺雲主機、100臺docker，管理這些特權帳戶的安全是一項複雜的工作,跟蹤所有的變更,確保每台伺服器ssh key 部署是經過審批的，並記錄下來以便進行長期分析和審計。

1. 賬號掃瞄引擎

需要在雲主機本地部署主機安全agent全盤收集使用者賬號資訊，以及散落在角落中的ssh key等資訊，(依賴關係，建立日期)。

掃瞄應用系統，檢視是否存在應用程式指令碼、配置檔案和軟體**中的硬編碼憑證。

通過客戶端登陸程式掃瞄登陸雲主機的終端是否存在業務系統的key或者賬號密碼。

2. 企業級密碼保管庫

(1) 通過web控制台，管理員可以通過rest api 設定建立初始化賬號策略(例如：設定策略以建立憑證強度以及輪換頻率、共享賬號策略)。

(2) 通過賬號**程式，細粒度的控制特權訪問，儲存訪問記錄。

(3) 提供賬號使用合規報告。

賬號最小許可權分析報告。

賬號使用範圍視覺化報告。

賬號審計報告。

3. 賬號威脅分析

分析引擎對使用者、實體和網路流量執行多種複雜的專用演算法(包括確定性演算法和基於行為的演算法)，針對攻擊者會假冒成授權內部使用者，實時發現攻擊並自動做出響應，以便在整個攻擊生命週期的早期發現攻擊跡象。通過盡早發現攻擊，安全團隊就有了更多寶貴時間來在造成業務中斷之前終止攻擊。

與siem解決方案的雙向整合**使安全團隊可以利用現有的siem部署來彙總資料，進行有針對性的分析，並發出預警來為涉及特權賬戶的事件分配優先順序。

三、系統架構

簡述：本解決方案支援公有云云主機、雲物理機、idc託管物理伺服器，應對使用者多雲部署的情況。

針對企業級秘鑰管理庫，我們為每個租戶開啟一台虛擬的雲加密託管服務，確保公有雲運營方對使用者的憑證濫用的情況。

(1) 秘鑰安全性保障

虛擬雲加密機初始化是由公有雲給租戶郵寄usb key

使用者在自己的vpc環境中架設vpnserver，通過vpn連線租戶vpc環境中。

在公有雲平台上開通虛擬雲加密機服務，雲加密物理機通過公有雲網路中peer方式對映到租戶vpc環境中，使用usbkey進行初始化。

(2) 秘鑰生命週期管理

登陸秘鑰管理控制台，使用者申請ssh key,以及要登陸的雲主機或者物理機。經過審批後，主機安全agent會分發ssh key到雲主機或者物理機上。

使用過程中，安全agent會掃瞄、監控、審計整個過程。

當秘鑰需要銷毀的時候，到秘鑰管理控制台申請，審批後，主機安全agent會刪除對應主機上的ssh key。

(3) 安全威脅分析

通過主機安全agent來進行ssh key掃瞄，可以分析出當前租戶環境中的sshkey散落情況並且給出合規報告。

通過主機安全agent記錄登陸情況，賬號審計資料上傳到態勢感知安全運營平台，通過ueba模組做大資料分析。給出響應的安全告警

大連那家醫院看**好 mobile.bohaink.com

雲原生賬號安全管理

mysql 賬號安全 mysql 賬號安全管理

雲原生安全模型與實踐

雲原生雲原生簡介

雲原生賬號安全管理

mysql 賬號安全 mysql 賬號安全管理

雲原生安全模型與實踐

雲原生 雲原生簡介

相關推薦

雲原生雲原生簡介