欧美一级特黄大片做受成人-亚洲成人一区二区电影-激情熟女一区二区三区-日韩专区欧美专区国产专区

組織需要知道誰在云計算環(huán)境中潛伏

2022-10-11    分類: 網(wǎng)站建設(shè)

大多數(shù)組織無法完全了解用戶在云計算環(huán)境中可以做什么。他們不知道誰可以假冒其他身份來升級權(quán)限,或者將能夠獲得哪些權(quán)限——缺乏洞察力可能會使組織的業(yè)務(wù)面臨風(fēng)險。

Netskope公司高級安全研究員Colin Estep大約一年前開始研究谷歌云平臺中的潛在安全漏洞。他試圖了解組織如何評估其完整身份和訪問管理(IAM)泄露,從而能夠回答這樣一個問題:你知道用戶在你的云計算環(huán)境中可以做什么嗎?

組織需要知道誰在云計算環(huán)境中潛伏

Estep說,“總的來說,對于任何一個云平臺,我都很感興趣。而對于提出的這個真正基本的問題,沒有人能夠真正回答。很多人的回答是,‘不,我不知道每個用戶都能做什么。我不知道其全部功能是什么。’”

他表示,云平臺中的身份和訪問管理(IAM)的普遍問題源于云計算環(huán)境的動態(tài)性質(zhì)。不斷變化的資源、正在興起的新服務(wù),以及云計算技術(shù)快速發(fā)展,使組織很難及時了解這些新服務(wù)的含義、它們的工作方式,以及對云中各種資源權(quán)限的含義。

Estep解釋說:“這只是一件令人關(guān)注的事情。身份驗證確實是關(guān)鍵領(lǐng)域之一,因為如果沒有身份和訪問管理(IAM)解決方案,那么可能會泄露敏感數(shù)據(jù)、濫用或刪除資源。而在云計算環(huán)境中,各種事情都可能發(fā)生。”

Netskope公司以往一直采用AWS 云平臺,由于該公司為了滿足增加的客戶需求而開始采用谷歌云平臺。Estep發(fā)現(xiàn)谷歌云平臺很有趣,并且在結(jié)構(gòu)和授予員工權(quán)限的方式上與AWS 云平臺有所不同。

他解釋說:“我覺得谷歌云平臺在設(shè)計布局時考慮了更多的問題……他們在云計算環(huán)境中有一個層次結(jié)構(gòu),用戶可以在這個層次結(jié)構(gòu)中分配權(quán)限。”谷歌云平臺也沒有設(shè)置“拒絕”政策。Estep表示,雖然谷歌云平臺試圖簡化權(quán)限策略,但當(dāng)管理員必須將不同的層放在一起以弄清楚到底發(fā)生了什么時,事情將可能會變得復(fù)雜。

這也是他決定將研究重點(diǎn)放在谷歌云平臺上的部分原因,這也是他將在即將舉辦的歐洲黑帽大會上發(fā)布“谷歌云平臺中的許可挖掘”演講報告的主題。

Estep說,“如果攻擊者獲得更多訪問權(quán)限,最糟糕的情況是什么?這難以想像。”作為研究的一部分,他開發(fā)了一個概念驗證工具(PoC),供組織學(xué)習(xí)在云計算環(huán)境中授予員工的權(quán)限。當(dāng)這個工具在生產(chǎn)環(huán)境中使用時,其應(yīng)用結(jié)果比他預(yù)期的要糟糕。例如,發(fā)現(xiàn)了云平臺的擁有者不知道有多少用戶實際上是“影子管理員”的情況,這意味著他們可以升級權(quán)限,直到在組織級別上對云計算環(huán)境擁有完全的控制能力。Estep解釋說,谷歌云平臺有一個“組織”的概念,它是云計算環(huán)境的最高層,擁有組織管理級別的員工將會繼承所有級別的管理功能。

他說:“獲得這些權(quán)限的員工可以進(jìn)入云平臺,更改日志記錄、創(chuàng)建資源、刪除內(nèi)容、訪問所有數(shù)據(jù),為自己添加用戶。除了刪除整個環(huán)境,他們可以做所有事情。”

通過了解誰擁有哪些權(quán)限,組織可以在發(fā)生數(shù)據(jù)泄露或其他安全事件發(fā)生之前消除風(fēng)險。

服務(wù)驅(qū)動的復(fù)雜性降低了可見性

Estep指出,谷歌公司一直在關(guān)注這個問題,該公司在身份驗證與授權(quán)方面做得很好。然而,云計算提供商之間存在一個廣泛的問題,即提供更多的服務(wù)會提高復(fù)雜性。許多云計算提供商并沒有為客戶簡化流程,而是創(chuàng)建更多的服務(wù),并以某種方式解決其復(fù)雜性問題。

他以附加的控件為便,這些控件聲明權(quán)限只能在特定情況下或在組織的特定部分中使用。但是,由于這些控件可能屬于不同的服務(wù),因此超出了正常權(quán)限。這為管理員查詢用戶的權(quán)限以查看他們能夠訪問的內(nèi)容帶來了問題。

Estep解釋說:“這并不是全部,因為這些外部控件會對它們產(chǎn)生一定的影響。這些帶來了更多復(fù)雜性的問題并非谷歌云平臺獨(dú)有。現(xiàn)在更讓人頭疼的是,作為用戶必須考慮到這一點(diǎn),也許他們不知道存在這些問題。”

解決方案成為焦點(diǎn)

Estep指出,谷歌云平臺有許多層次結(jié)構(gòu)和權(quán)限。為了理解這些,管理員必須同時查看所有層,這在控制臺中很難做到。其解決方案旨在為組織提供一種簡單的方法來規(guī)劃授予成員的權(quán)限、谷歌云平臺環(huán)境結(jié)構(gòu)和服務(wù)帳戶。

他說,“這個項目最初是一個PoC,我想知道是否能回答‘知道所有用戶都能做什么嗎’這個問題。”Netskope公司開發(fā)的解決方案將在BHEU發(fā)布,可以檢查用戶及其權(quán)限,以了解可以模擬哪些服務(wù)帳戶。

解決方案使用圖表來映射實體和關(guān)系,以便管理員可以查看哪些權(quán)限已附加到谷歌云平臺用戶。一旦通過API調(diào)用獲取了相關(guān)數(shù)據(jù),該圖表就會以一種易于理解的方式映射出管理員需要的信息。雖然Estep最初不想使用圖形,但這是同時考慮許多不同層的好方法。

Estep表示,雖然沒有考慮其他服務(wù)的解決可見性問題的這種方法并不成熟,但希望將來集成這種功能。

他說,“我們首先將所有權(quán)限匯總在一起,然后可以開始添加。”

本文題目:組織需要知道誰在云計算環(huán)境中潛伏
轉(zhuǎn)載注明:http://aaarwkj.com/news44/204444.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供標(biāo)簽優(yōu)化定制開發(fā)、商城網(wǎng)站網(wǎng)頁設(shè)計公司、靜態(tài)網(wǎng)站、云服務(wù)器

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

成都網(wǎng)站建設(shè)公司
日本精品a秘在线观看| 精品乱码一区二区三区四区| 99热在线播放精品观看| 91精品夜夜夜一区二区| 91国产视频在线观看免费| 久国产精品韩国三级视频| 欧美日韩精品人妻二区| 久久久久久国产综合精品| 免费国产三级在线观看| 国产成人午夜视频免费一区| 丝袜美腿一区在线播放| 久久国产精品av在线观看| 男女午夜激情四射视频| 日韩商清av毛片网站| 99热免费精品在线观看| 欧美一区二区三区情色| 在线视频日韩欧美国产二区| 国产精品日韩一区视频| 久久精品人妻麻豆尤物| 91精品超碰人人在线公开| 日韩精品在线观看一二三区| 成人av免费高清在线| 男人的天堂av免费看看| 激情五月综合开心五月| 日韩三级在线观看av| 国产精品粗又长一区| 综合久久—本道中文字幕| 国产精品水嫩水嫩粉嫩| 日韩二区三区在线观看| 国产丝袜美腿视频亚洲综合| 国产一区二区爽爽爽视频| 国产精品亚洲二区三区| 亚洲综合色婷婷在线影院| 男同午夜视频在线观看| 午夜理论片在线观看有码| 给我搜一个一级黄色片| 日本在线观看精品综合| 日韩黄色大片免费在线观看| 欧美黄片高清免费播放| 神马影院在线观看午夜| 黄色录像免费看中文字幕|