無論是適應遠程工作，改進創新還是建立敏捷團隊，組織都會出于各種原因而繼續優先考慮數字化轉型。而且，盡管數字化轉型戰略從商業上帶來了很多好處（從提高生產力到解鎖新功能的工具），但企業也必須減輕云基礎架構的重大安全風險，以充分利用其投資。

組織還必須謹慎地將對數字轉型的重視與零信任聯系在一起。零信任模型的主要支柱是限制過多用戶權利的能力。然而，在云中，當云服務提供商添加新服務和權限，以如此快的速度發展并試圖了解每天成千上萬的權限的復雜性時，很難做到這一點。

例如，主要的云安全風險與在組織的混合和多云環境中運行的人和非人身份有關。實際上，通過使用Amazon Web Service（AWS）對組織進行廣泛的研究和分析評估，CloudKnox安全研究實驗室發現了在這些環境中授予的權限與所使用的權限之間的顯著差異。此增量稱為“云權限差距”，它是影響各種規模企業的意外和惡意內部威脅增加的一個促成因素。在這里，攻擊者能夠在組織無法實施和管理零信任策略的情況下，以更高的權限利用身份并跨組織的關鍵云基礎架構進行訪問。

由于Cloud Permissions Gap難以駕馭并且構成了直接威脅，因此CloudKnox會更深入地研究AWS風險評估以進行Cloud權限管理，以概述風險所在，并提供減輕風險的最佳實踐。

什么是云權限差距，為什么會有危險？

在采用公共云或混合云基礎架構的任何組織中都存在云權限差距，這使得該組織極易受到意外和惡意威脅的攻擊。這是如何發生的，為什么它普遍流行？盡管身份僅應具有其特定工作職能所需的權限，但是對超過150個全球企業的CloudKnox評估發現，訪問其組織的AWS基礎架構的所有身份中，超過95％的身份使用的權限不到授予的2％。更糟糕的是，據報告所有AWS角色中有40％處于非活動狀態或被過度許可。

但這還不是全部！以下是來自AWS部署的其他一些發現，這些發現可能會給全球組織帶來可怕的結果，如果不緩解的話，還會提供有關這樣做的建議：

· 經常向外部身份授予跨帳戶訪問權限。身份可以假定目標帳戶中的所有資源，從而大大增加了由于惡意意圖或意外行為而導致數據泄漏，服務降級或服務中斷的可能性。

建議：適當大小的角色范圍以訪問有限的資源，并限制對其他帳戶中特定身份的訪問。

· 管理員通常沒有啟用多重身份驗證（MFA），并且訪問密鑰的旋轉時間不超過6個月。未啟用MFA的管理員沒有定期旋轉的登錄或訪問密鑰，則有較高的憑據泄露風險，這增加了攻擊面。

建議：根據AWS結構完善的建議，為所有具有控制臺訪問權限的用戶啟用MFA，并每90天旋轉訪問密鑰。

· 大多數企業擁有可訪問所有簡單存儲服務（S3）存儲桶的彈性計算云（EC2）實例。惡意攻擊者可以利用這些受損的EC2實例來訪問敏感數據存儲，例如S3存儲桶，從而導致數據泄露。

建議：限制EC2實例上的應用程序對所有資源的廣泛訪問。

· 打開了入站安全外殼（SSH）端口并將其附加到EC2實例的配置錯誤的安全組。開放的安全組允許基于網絡的攻擊來訪問EC2實例。

建議：任何安全組均不應允許對任何端口的無限制入口訪問。

· 具有特權提升能力的身份可以提升為超級管理員角色。具有隱藏特權升級的身份會增加用戶對管理員特權的訪問權限，從而增加用戶獲得未經授權訪問的風險。

建議：定期檢查所有身份策略，以獲取高風險權限，有毒組合以及任何特權升級的可能性。

過度使用的身份使組織在其整個AWS環境中容易遭受重大風險，表面上使CISO和安全運營中心（SOC）團隊的生活更具挑戰性和復雜性，但不必要，但這不是必須的。

組織可以做什么來保護其AWS環境？

管理與任何給定的人類或非人類身份相關的權限非常復雜；如果不能正確，連續地管理身份，將給組織帶來巨大的風險。但是，在這些多云環境中，并不一定注定要失敗。使用AWS的組織現在可以并且應該做以下三件事來保護其云基礎架構：

· 利用基于活動的授權對身份的權限進行適當調整。自動為過度特權的用戶，角色和組刪除權限或縮小權限范圍。使用集成的批準工作流，通過受控的定時訪問來按需啟用高風險權限。限制對關鍵云基礎架構資源的廣泛訪問。

· 持續識別，改善和監視身份和訪問管理（IAM）衛生狀況。從靜態的，基于假設的權限授予過程遷移到連續的，基于活動的權限管理過程。監視，獲取警報并糾正異常的身份行為，未經授權的身份和角色。

· 實施自動化，持續的合規性和報告。通過刪除安全組中的入站SSH和遠程桌面（RDP）訪問來限制對虛擬機的訪問。為具有控制臺訪問權限的所有身份啟用MFA。定期輪換憑據并定期管理密鑰，以減少憑據泄露所帶來的風險。使用NIST 800-53，CIS基準，PCI-DSS和AWS Well-Architectured報告在所有帳戶中自動化和安排自定義風險報告，以推動合規性。

最終，所有組織都必須優先考慮數字化轉型和云優先策略，以利用解決方案來管理訪問并在云中實施最小特權和零信任訪問。我們知道，盡管已有解決方案，但隨著向云的不斷發展和發展，與過度許可的身份（包括人類和非人類）相關的風險只會加劇。正如最新的CSA（云安全聯盟）報告和圖表所示，隨著不良行為者利用這些身份從不斷增長的攻擊媒介中竊取敏感信息，授予的權限與在整個組織的云基礎架構中使用的權限之間的差異變得越來越危險。 。

展望未來，將最佳實踐用于云權限管理的組織將更適合在其混合環境和多云環境中實施和管理零信任策略，并保護關鍵的云基礎架構資源和身份。此外，利用自動化技術（例如云基礎架構權利管理（CIEM）平臺）可以使組織加強此類最佳實踐。這些行動共同使組織能夠實現零信任的指導原則之一-限制過多的權限和主動的安全風險。