新數(shù)字經(jīng)濟下的特權訪問管理方案_第1頁
新數(shù)字經(jīng)濟下的特權訪問管理方案_第2頁
新數(shù)字經(jīng)濟下的特權訪問管理方案_第3頁
新數(shù)字經(jīng)濟下的特權訪問管理方案_第4頁
新數(shù)字經(jīng)濟下的特權訪問管理方案_第5頁
已閱讀5頁,還剩12頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、新數(shù)字經(jīng)濟場景下的特權訪問管理方案技術創(chuàng)新,變革未來黑客攻擊鏈Aims forWindowsPrivilegesNetworkHijackingCredentialHarvesting特權訪問風險面巨大特權賬號無處不在賬號共享,缺少責任界面應用內嵌密碼難于管理改密帶來挑戰(zhàn)遠程訪問無法保證安全,難于追蹤黑客的最愛mysql:database:populate my-db:username= production-robot, password=不同服務商的遠程訪問難于實現(xiàn)靈活訪問控制D3d*9!xs3#fkd5fSDvu%34qsocv3,privileges = SELECT,INSERT,U

2、PDATE,DELETE,schemafile = /usr/share/my- db/schema/mysql.sql,DANGER!新常態(tài)下的安全趨勢According to the report, phishing remains the top form of social-driven breach and “schemes are increasingly sophisticated and malicious” as remote work surges.Meanwhile, the use of stolen credentials by external actors is

3、on a meteoric rise. More than 80% of breaches tied to hacking(the number one threat action) involve the use of lost orstolen credentials or brute force.While these findings are not new or surprising, the DBIR reminds us that attackers nearly always take the path of least resistance by using this tri

4、ed-and-true approach: start with a phishing scam (96% arrive by email) targeting a users endpoint, then easily crack weak passwords or steal credentials stored on the device. Using these credentials, theattacker can move from workstation to workstation in searchof sensitive data to steal and privile

5、ged credentials (such aslocal admin rights) that enable escalation to higher-valueassets and information.https:/resources/blog/verizon-dbir-2020-credential- theft-phishing-cloud-attacks數(shù)字化轉型:特權訪問風險面擴大了https:/resource/the-ciso-view-protecting-privileged-access-in-devops-and-cloud-environments/CISO的兩難

6、選擇:特權訪問安全和敏捷開發(fā)運維https:/www./resource/global-advanced- threat-landscape-2019/安全加固“左移”https:/kubernetes.io/docs/concepts/configuration/secret/#risks數(shù)字化轉型背景下特權訪問管理最佳實踐最佳實踐一-加固開發(fā)者終端移除終端中的本地管理員權限,使用零信任技術確保終端最小權限 原則,使用即時提權技術確保特權訪問僅在需要時臨時獲取。盡可能使用多因素技術。確保開發(fā)者登錄應用時的身份。控制安裝應用和開源工具的權限:例如禁止安裝來源不明的應用, 移除未受策略授權的應用

7、程序,企業(yè)允許安裝的應用或者工具要做 到自動授予安裝權限,提高開發(fā)者效率。加固終端中的工具類特權賬號:例如 Chrome 瀏覽器中保存的賬號,AWS密鑰,Git憑據(jù),WinSCP保存的憑據(jù)等等。阻止勒索軟件加密。最佳實踐二加固應用、服務、腳本等內嵌的密碼、密鑰應用、服務、腳本等內嵌大量特權賬號和系統(tǒng)、數(shù)據(jù)庫、云對接交互,潛在著巨大的 特權訪問風險!避免在應用、服務、腳本內“寫死”密碼,使用更安全的數(shù)字保險庫技術加固此類 特權賬號,使用“API身份” 認證技術獲取“最新”的密碼。此類密碼由于不能實施“多因素”技術,應使用數(shù)字保險庫技術定期改密,對于密 碼、密鑰的調用、使用要有詳盡的審計,審計日志

8、要做到不可篡改。確保定期改密對關鍵應用“零” 影響,例如不能中斷業(yè)務、自動化流程等。關鍵業(yè)務應用、業(yè)務容器在調用密碼、密鑰時,要進行強認證確保其“身份”,防 止“非法”應用冒用密碼、密鑰。確保業(yè)務容器大規(guī)模并發(fā)訪問時,密碼、密鑰的高可用和高效性。最佳實踐三加固De vo p s 工具的管理控制臺加固管理控制臺的特權訪問,操作人員或者腳本使用特權賬號時具備審計功能:應用定期改密策略,自動定期改密。CI/CD工具對接交互其它系統(tǒng)、數(shù)據(jù)庫時實時調 用最新密碼;操作人員登錄控制臺使用雙因素技術。集中化管理所有工具控制臺,例如Jenkins UI、Ansible UI等,特權會話全程審計,審 計日志不可

9、篡改。開發(fā)者體驗要高效,集中化管理所有控制臺后,不但要保持特權會話的安全性和可審 計性,也要允許開發(fā)者自由使用其本機打開管理控制臺。加固關鍵命令,必要時使用“雙因素技術” 確保命令執(zhí)行的正確性。例如對pushing commits啟用“雙因素”。最佳實踐四加固第三方遠程特權會話這些第三方遠程服務商難于監(jiān)控,黑客以其為跳板持續(xù)滲透到其所服務的 企業(yè)或組織:使用零信任技術確保終端最小權限原則,使用即時提權技術確保特權 訪問僅在需要時臨時獲取。避免使用VPN撥入內網(wǎng)進行特權會話操作。遠端特權會話避免輸入密碼和保存密碼。內部系統(tǒng)避免對外發(fā)布公網(wǎng)訪問,所有遠程特權會話的操作進行監(jiān)控 和審計。第三方遠程服

10、務商身份管理要靈活,避免和內部身份系統(tǒng)混合。特權訪問的權限賦予和撤銷要及時,避免多余權限和過期權限。企業(yè)級全面特權訪問管理加固管理控制臺的特權訪問Protect the tool consoleUse Privileged Session Manager and Privileged Session Manager for the Cloud to monitor and record any human or non-human interactive accessSecure the tool credentialsUse Central Policy Manager to manage

11、and rotate credentials based on policySecure the tool CLIUse On Demand Privilege Manager to Secure the tool CLI interfaceDetect unmanaged & compromised IAM users Use Privileged Threat Analytics to detect unmanaged Access Keys, and Passwords for AWS users as well as compromised privileged IAM and EC2

12、 users加固DevOps CI/CD 流水線加固業(yè)務容器的特權訪問Secure Master / Cookbook / Playbook / Manifest / Application containersUse Application Access Manager to remove hard coded/ unmanaged credentials from jobsand retrieve them in a secure wayDiscover hidden hard coded credentials Use DNA to auto-discover hidden credentials in tool Playbooks, Roles, and TasksSecure the managed Nodes Use Application Access Manager to establish an identity during orchestration to use for secrets retrieval in a secure waySecure admin access to the NodesUse Privileged Session Manager to secure, con

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論