从人类到机器:为云中的所有身份降低风险(由 Tenable 赞助)

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/SEC248-S-From_humans_to_machines__Mitigate_risk_for_all_identities_in_the_cloud__sponsored_by_Tenable___Tenable_-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 在云中,机器和人在管理身份和权限方面有很大的不同,但它们有一点是共同的——它们都对你的云基础设施构成了最大的风险。在这个闪电式演讲中,了解这两者之间的差异,并看看Tenable Cloud Security如何用于最小化管理大规模身份可能带来的风险。此外,还要了解如何轻松地在你的组织内应用安全策略,在你的DevSecOps、DevOps和研发团队之间几乎没有任何摩擦,同时为你的用户提供无缝的访问体验。这个演示由亚马逊云科技合作伙伴Tenable公司呈现。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共1000字，阅读时间大约是5分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 李先生，作为Tenable公司的高级云安全架构师，在一场约有200名听众的演讲中，开始探讨关于缓解云环境中服务和人类身份相关风险的战略和最佳实践。他首先指出了企业在保护其云环境方面所面临的一些关键挑战。据李先生表示，尽管云计算为企业带来了巨大的商业机遇，但云架构的固有动态和复杂性同时也引入了新的攻击途径和安全风险。例如，由于云技术仍处于发展阶段，许多专业人士并未掌握广泛的专业知识。李先生强调，这种云安全技能和知识的匮乏使得组织更难在云中实施负责任且有效的安全措施。此外，市场上令人眼花缭乱的工具和技术超过50种，这通常会导致工具过度使用和碎片化的问题。李先生认为，保护云环境需要基础设施和发展团队之间的更多合作，因为两者都需要共同努力来管理云环境中的配置、策略和风险。接着，李先生解释道，尽管安全性历来都是孤立实施的，但实际上云实现了来自不同来源的数据的统一，如配置、身份、日志等。将这些不同的数据集结合在一起提供了必要的背景，使组织能够对其云安全战略和优先事项做出更明智的决策。为了说明错误身份配置和过多权限的风险，李先生引用了一个使用Log4Shell漏洞窃取Amazon Web Services(亚马逊云科技)身份的事件报告。攻击者能够检索凭证，然后利用这些身份的权限获得对[Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail)桶的完全访问权限，使他们能够泄露并销毁大量数据。李先生强调，受影响的身份和过度的权限是超过50%的云攻击的根源。 在应对这些挑战的过程中，利奥提出了一种名为云原生应用保护平台（CNAPP）的概念。该平台将来自不同来源的信号（如身份、配置、漏洞和活动）整合在一起，以提供一个统一的风险视图。这种上下文洞察不仅有助于安全团队更深入地了解潜在威胁，还能帮助他们实施最小权限原则，从而限制泄露事件的影响范围。然而，利奥指出，尽管最小权限原则至关重要，但在大规模实施过程中可能会遇到很多困难，例如过度宽松的S3访问示例所展示的问题。 接下来，利奥阐述了构建有效身份和权限管理解决方案的一些关键原则和需求。首先，解决方案应提供精确的访问控制，仅授予必要的权限。其次，它需要足够简单，以便即使是最少安全专业知识的用户也能轻松操作。第三，该解决方案应实现权限管理和强制执行的自动化，因为云环境经常发生变化。第四，它应与现有的工具和工作流程无缝集成，以降低使用障碍并确保广泛应用。 为了展示这些功能，利奥在现场演示了Tenable的云计算安全产品。该产品与基础设施代码库集成，以持续监控权限并识别风险。例如，它可以检测到面向公共的工作负载，具有超过5个关键漏洞，并通过超过20行基础设施代码授予过多的特权。该产品将发现的有风险配置与分配给这些配置的具体代码行相关联。然后，它可以自动生成一个带有最小权限策略更改的拉取请求，该请求在经过审查后会被合并到代码库中以解决问题。利奥强调，这种以开发者为焦点的工作流程通过代码直接通信来消除摩擦。此外，他还在演示中展示了如何在测试阶段预先运行最小权限分析，以在生产部署之前确保安全配置。虽然这种模型对具有一致代码的可预测工作负载非常有效，但对于保护人类用户（其行为远不那么可预测）的安全性则不太适用。 在处理人类身份问题上，Leo详细阐述了他们采用的零信任立场方法。这种方法对敏感环境的用户默认设置最小的权限，甚至是没有权限。当用户有特定的业务需求时，他们需要提交访问请求。这个请求需要通过审批工作流程并获得批准。一旦授权，所提升的权限通常会在1-2小时的短时间段内自动失效。尽管这提高了安全性，但Leo也承认糟糕的用户体验可能带来风险，因此必须尽量减少操作过程中的摩擦。 他展示了一个自助服务门户，用户可以在其中申请访问权限，审批者可以审核请求并授予有限时间的权限。审批者还可以随时撤销用户的访问权限。为了进一步优化用户体验，Leo展示了与Slack的集成，用户可以通过Slack命令申请访问和审批者批准，无需在不同的系统之间切换。此外，所有用户的会话记录都可以进行审计，以确保责任可追溯。 总的来说，Leo强调，像Tenable Cloud Security这样的CNAPP能够提供适当大小的权限所需的环境背景，同时也为人类用户提供了即时的最小权限。这种平衡的方法在提高可接受用户体验的同时增强了云安全状况。关键是认识到云带来了新的风险，统一的数据有助于做出明确决策，最少权限原则限制了潜在损害的范围，自动化解决方案兼顾了安全性和易用性，可预测的工作负载适用于持续的最小权限监控，而不可预测的人类用户则需要短期的1-2小时访问权限。在提供审计和可视化的同时整合短期访问模式可以增强零信任。Tenable的CNAPP产品展示了解决云环境中这些身份和访问挑战的能力。 Leo最后邀请与会者参观Tenable的展位167，了解更多关于其云安全产品提供的详细信息。他还愿意在会议结束后继续回答与云环境中的身份安全和风险减轻相关的问题。 **下面是一些演讲现场的精彩瞬间：** 在演讲中，重点关注了通过身份和权限管理来保障云计算安全的问题。  由于每个人都在参与到云环境的构建过程中，因此云环境需要基础设施和开发者之间的紧密合作。  云技术为我们提供了一个契机，将不同层次的安全信息整合在一起，从而为制定云计算策略提供了背景支持。  身份管理在保护云环境中起着至关重要的作用。  有效的身份和访问管理有助于企业限制安全漏洞可能带来的负面影响。  针对特定业务需求的临时访问请求，可以采用按小时为基础的最小权限解决方案。  在re:Invent上，领导者们强调了亚马逊云科技展位的吸引力，为对云计算安全意识感兴趣的参会者提供了参观的机会。  ## 总结 亚马逊云科技和re:Invent作为顶级云计算活动，关注创新在云计算领域的应用。来自Tenable的高级云架构师Leo在峰会上发表了一场关于应对云环境中的服务和安全风险挑战的深刻演讲。他强调，动态的云环境带来了许多新的攻击途径，且云安全专家短缺，工具繁多。为此，他倡导采用一种统一的方法，整合姿态、工作负载和身份数据，以便更有效地分配资源并降低入侵的影响。接着，Leo展示了Tenable的云安全平台，该平台能够将基础设施代码集成以识别配置错误，扫描工作负载查找漏洞，绘制权限图并检测过度授权。通过自动拉取请求来更新策略并将更改顺畅地传达给开发者，可以实现对可预测工作负载的最小化权限管理。然而，人类具有不可预测性，需要实时访问。利用Tenable的零信任立场，用户将根据需求申请临时凭证，从而实现访问日志记录和在过期后自动撤销。与Slack的集成为用户提供了流畅的体验。总的来说，在工作负载实施最小权限管理的背景下，为人类提供实时访问，使得组织能够在充满信心地拥抱云计算创新的同时，确保安全性得到保障。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")