【51CTO.com快译】现如今,云服务已经是无所不在了。从商务视角看来,一切期待获得迅速發展的企业,都是会选取根据其优选的云服务服务提供商,来获得测算、互联网和存储资源,以扶持她们的商品。毫无疑问,云服务已经以指数级的速率简单化着他俩的开发设计和自动化技术全过程。而人工智能技术(AI)和物联网技术(IoT)等新型技术性,也在推动着这种全过程的转换。
殊不知,应用架构在归功于云服务所供应的高效率、操作灵活性和成本费盈利的与此同时,也显现出了安全性上的薄弱点。不一样水平及种类的信息和数据泄露事情,屡次走上头条新闻。总体而言,如下所示三个关键因素是致使大部分网络攻击有机会的网络安全问题与安全隐患:
文中将致力于探讨以上第一类系统漏洞的根基上,给予基础的处理构思与方式。
目前明文密码验证体制存在的不足
根据凭证的身份验证(即:用户名和PIN码的方法)是造成现阶段80%以上数据泄漏的根本原因。殊不知,大部分最后用户依然会根据这类简易便捷方法,去浏览它们的网址和运用。更糟心的是,很多DevOps和云服务技术工程师并没有对其比较敏感的云端工作环境造成充分高度重视。现阶段,例如GitHub之类愈来愈多的网址,早已观念到了该类危害,并在慢慢弃用根据登陆密码的身份验证方法。
来源于云端的危害
如前所述,尽管云服务的作用关键反映在操作灵活性、扩展性、及其分布式系统浏览上,可是将数据湖、数据库查询、及其IAM(身份浏览管理方法)等服务项目集中化到一处,只能导致安全性部件的简易堆积,乃至互相影响。因而,一切注安师都需要清晰,因为规模的缘故,集中化在巨大的、根据云的数据信息湖中的信息和服务项目,全是黑客技术宁愿铤而走险,也需要进攻并获得的丰富資源,她们必须经过有效的整体规划,来提升总体安全性趋势。具体来说,现阶段的身份与登陆密码认证计划方案存有着如下所示三类系统漏洞:
除此之外,就进攻自身来讲,他们既可以来源于任何地方、一切设备、及其一切水准的网络黑客(或为专业发烧友、或为成熟的专业人员),又可以来源于丧尸服务器、恶意程序、勒索病毒,乃至是AI手机软件。该类进攻通常可以比承担监管的安全防护部件,提早一步成功。
大家需要怎么看待?
秉持着知难而上的观念,大家下边来探讨怎样根据简易的设计方案和网络信息安全搭建,去削减云端危害的攻击面。
1. 应用数据加密密匙并非凭证来加强浏览验证
应用AES的256位强加密算法,来高效地避免身份凭证在失窃的情形下,曝露比较敏感的信息资源。
2. 将数据加密浏览关联到设备,再将设备绑定给用户
我们可以根据2个简易的流程来确保设备的安全性。
- 将密匙关联到设备。我们可以应用包含可靠服务平台控制模块(Trusted Platform Module,TPM)以内的各种方式,将数据加密密匙的应用,唯一性地限定在针对相对应设备的搭建和受权阶段。
- 将设备与通过身份验证的用户相关联。在上一步确定了设备的真实有效的根基上,我们可以为设备加上有权利应用或操纵的唯一性身份人物角色,以及认证方式。
3. 将MFA(多要素身份验证)区块链技术,并关联到设备上
现如今,全部的MFA都是会最后取决于根据云端的数据库查询和网络服务器,而且必须由一个信赖链(Chain of Trust)来实行。为了更好地让云服务可以彻底摆脱点射监管,我们可以将MFA分散开来,并分发送给关联到设备的用户侧,从而清除所说核心连接点的人物角色。
由此可见,以上三步不仅巨大地提高了浏览全过程中的安全系数,并且降低了与最后用户的潜在性“磨擦”、及其IT工作人员的适用花销。就MFA来讲,其主要原因是:您“了解”哪些。这主要是反映在根据登陆阶段的基本登陆密码键入、一次性动态口令、消息提醒、及其硬件配置动态口令等,对设备给予身份验证。更主要的是,大家应当运用根据数据加密设备的检验方法,去给予另2个强劲的要素,从而保证身份的合理合法:
- 您“有着”哪些?——有着AES的256位公钥。
- 您“是”谁?——运用生物识别技术将根据云端与设备的主题活动监管紧密结合。
4. 不断应用零信任
上三步足够给绝大部分身份验证测试用例与要求,产生安全与隐私维护。但是,针对这些严格管理浏览工作人员与身份相对性应的情景,大家则必须引进具备“绝不信赖,不断认证”特点的零信任,来确保计算机终端、链接安全性、及其密钥管理安全性。
安全结构加固的实际意义
从简易方面看来,以上四招可以立即将云端身份验证和验证的受攻击面大幅度降低。从长远视角来讲,大家将得到如下所示三层面的优点:
1. 削减根据凭证的进攻
大家所了解的钓鱼攻击、身份偷盗和冒充、社会工程等拒绝服务攻击,全是根据身份凭证的。要是没有了可盗取的凭证,那麼由它所引起的受攻击面可能急剧减缩。
2. 削减根据云端的、系统软件范畴的进攻
依据零信任的监管方法,用户在浏览資源的情况下,必须一个接一个地不断验证,其浏览到的节点设备也会被逐一追踪。显而易见,这一举动拉高了绝大部分黑客入侵云端系统软件与业务的门坎。
3. 按需更新和实行“人们在控制回路(Human-In-The-Loop)”中的零信任认证
说到底,现如今各种各样根据云服务的身份验证,都必须依靠手机软件或节点设备,来认证身份。当您的运用前后文必须对设备或用户,开展即时且重复的身份验证时,就可以合理地引进了解该用户身份的受权工作人员人物角色,依据事先配备好的自动化设计推动步骤,来流畅地实行身份验证每日任务。
总结
总的来说,大家与其说沿用之前“打地鼠”式的安全性弥补方法,比不上从源头上对易受攻击的、集中型的云原生服务项目构架开展安全性结构加固。期待以上为您带来的制定与搭建方法,可以帮助您持续填补云服务中的目前系统漏洞,并能不断提升其安全性趋势。
全文文章标题:Raising the Bar on Security by Purging Credentials From the Cloud,创作者:Gene Allen
【51CTO译文,协作网站转截请标明全文译员和来源为51CTO.com】