《識別影子訪問：新興的IAM安全挑戰(zhàn)》

?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有1IAM工作組的官網(wǎng)地址是：/research/working-groups/identity-and-access-management/@2023

云安全聯(lián)盟大中華區(qū)－保留所有權(quán)利。你可以在你的電腦上下載、儲存、展示、查看及打印，或者訪問云安全聯(lián)盟大中華區(qū)官網(wǎng)（）。須遵守以下：（a）本文只可作個人、信息獲取、非商業(yè)用途；（b）

本文內(nèi)容不得篡改；（c）本文不得轉(zhuǎn)發(fā)；（d）該商標、版權(quán)或其他聲明不得刪除。在遵循中華人民共和國著作權(quán)法相關(guān)條款情況下合理使用本文內(nèi)容，使用時請注明引用于云安全聯(lián)盟大中華區(qū)。?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有2?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有3致謝《識別影子訪問：新興的IAM安全挑戰(zhàn)（Defining

Shadow

Access:

The

Emerging

IAMSecurity

Challenge）》由CSA

IAM工作組家編寫，CSA大中華區(qū)IAM工作組專家翻譯并審校。中文版翻譯專家組（排名不分先后）：組長：于繼萬翻譯組：崔崟于振偉謝琴鹿淑煜審校組：戴立偉研究協(xié)調(diào)員：蔣妤希感謝以下單位的支持與貢獻：北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司江蘇易安聯(lián)網(wǎng)絡(luò)技術(shù)有限公司深圳竹云科技股份有限公司華為技術(shù)有限公司上海物盾信息科技有限公司三未信安科技股份有限公司在此感謝以上專家及單位。如譯文有不妥當之處，敬請讀者聯(lián)系CSA

GCR秘書處給予雅正！

聯(lián)系郵箱research@；國際云安全聯(lián)盟CSA公眾號。?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有4英文版本編寫專家主要作者：Sasi

MurthyVenkat

Raghavan

Steven

Schoenfeld貢獻者：Philip

GriffithsShruti

KulkarniMichael

RozaDhaval

ShahHeinrich

Smit審校者：Ivan

DjordjevicRajat

DubeyAhmed

HarrisOsama

SalahSenthilkumar

ChandrasekaranShraddha

PatilAlberto

RadiceCSA分析師：Ryan

Gifford編輯：Larry

HughesCSA全球員工：Claire

Lehnert?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有5序言在當今數(shù)字化時代，云計算技術(shù)的普及為組織帶來了巨大的便利，然而，隨著云計算的快速發(fā)展，一種新的安全挑戰(zhàn)嶄露頭角：影子訪問（Shadow

Access）。影子訪問指的是對資源、應用程序和數(shù)據(jù)的非有意或非預期的訪問行為，其風險日益凸顯，威脅著企業(yè)的數(shù)據(jù)安全和隱私保護。本文深入剖析了影子訪問現(xiàn)象，并指出了它對云計算、身份和訪問管理、數(shù)據(jù)保護等多個方面的威脅和潛在影響。作為一個新興的安全挑戰(zhàn)，影子訪問的影響遠不止于數(shù)據(jù)的泄露，還可能破壞數(shù)據(jù)完整性與影響組織合規(guī)性。為了更好地理解和應對影子訪問，我們需要建立新一代的工具和流程，同時強調(diào)持續(xù)監(jiān)控和自動化管理在解決這一問題中的重要性，以確保云環(huán)境訪問與組織數(shù)據(jù)的安全。這不僅僅是一個技術(shù)問題，更是一個需要全面戰(zhàn)略思考的挑戰(zhàn)。本文所指出的問題，正是當今企業(yè)面臨的現(xiàn)實挑戰(zhàn)。希望通過此白皮書的探討和分析，引起廣大企業(yè)對影子訪問問題的關(guān)注，共同探討解決之道，確保數(shù)字化時代信息安全的可持續(xù)發(fā)展。李雨航

Yale

LiCSA

大中華區(qū)主席兼研究院院長?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有6影子訪問影子訪問指的是對資源、應用程序和數(shù)據(jù)的非有意或非預期的訪問行為，這是隨云計算、DevOps、云原生架構(gòu)和數(shù)據(jù)共享的快速增長，而產(chǎn)生的一種新的安全問題。影子訪問越來越成為一個云問題，這是由于連接云服務(wù)的訪問和授權(quán)使用增加，加上自動化的基礎(chǔ)設(shè)施和軟件開發(fā)，導致錯誤或者意外的賬戶和資源被配置。從小發(fā)展到大的組織經(jīng)常會痛苦地發(fā)現(xiàn)，曾經(jīng)的安全起點會默默地演進到一個不安全的階段。除了上述問題外，通常情況下，使用者的賬號和權(quán)限會被克?。ǖ湫蛨鼍笆窃趩T工入職或者新賬號創(chuàng)建時），會為用戶提供并非真正需要的訪問權(quán)限，使影子訪問問題進一步加劇。影子訪問的后果可能是災難性的，并且可能威脅到正在向云演進的任何組織。這篇短文旨在總結(jié)影子訪問的背景、原因、影響和前進的路徑，以重獲動態(tài)、安全的云環(huán)境所帶來的益處。?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有7背景企業(yè)IAM與云IAM的比較云IAM

存在于云生態(tài)系統(tǒng)內(nèi)由Terraform

或

CFT使用的標識、角色和策略，用于啟動標識和訪問權(quán)限通過云IDP聯(lián)合企業(yè)身份包括

LDAP,

AD,

企業(yè)IAM終端用戶，管理員訪問企業(yè)內(nèi),云中和SaaS化應用由云內(nèi)的開發(fā)和運營用戶使用包括AWS

IAM,

Google

Workspace,

Azure

AD,

Snowflake,

MongoDB,Infrastructure-As-Code以及云生態(tài)系統(tǒng)使用的DevOps,

Cloud

Infra,

Admins,SaaS應用;非終端用戶身份圖

1:

企業(yè)IAM與云IAM的比較傳統(tǒng)的企業(yè)身份和訪問管理（IAM）系統(tǒng)已經(jīng)發(fā)展了數(shù)十年，通常通過

LDAP

或活動目錄等典型服務(wù)或協(xié)議進行構(gòu)建和部署。企業(yè)

IAM

為身份提供授權(quán)和憑證，通常將企業(yè)人力資源（HR）系統(tǒng)作為權(quán)威的身份數(shù)據(jù)源。圍繞終端用戶對應用和資源的操作調(diào)用和訪問授權(quán)而建立起的策略和流程，通常被托管在企業(yè)防火墻內(nèi)部，員工和承包商通過安全的

VPN連接從防火墻外部進行訪問。隨著云應用的顯著發(fā)展，云身份提供者（IDP）系統(tǒng)開始出現(xiàn)。從定義上來看，云應用并不托管于企業(yè)內(nèi)部。因此，目前許多企業(yè)采用了企業(yè)

IAM（用于本地部署的應用程序）和流行的云

IDP

相結(jié)合，如

Okta、Azure

AD

或

Ping

Identity。云

IAM

是伴隨云計算演進產(chǎn)生的一個新的概念，用于為云內(nèi)資源、應用程序和數(shù)據(jù)提?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有8供授權(quán)和訪問控制，它們位于公有云生態(tài)系統(tǒng)中，如

AWS、Google

云和

Azure

云，以及由Kubernetes

驅(qū)動的私有云。雖然乍一看很相似，但在現(xiàn)實中，這個概念在本質(zhì)上是不同的，因此，我們需要分別對這些云身份進行分類和檢查。那么，為什么會有一個叫做"云身份"的新概念以及它們有何不同？

無論訪問云中的關(guān)鍵服務(wù)、供應鏈元素還是數(shù)據(jù)，每個資源都有一個身份。云服務(wù)提供商（例如

AWS、GCP

或

Azure）的系統(tǒng)通過像云

IAM

這樣的關(guān)鍵服務(wù)，來控制所有資源的身份和訪問。

云內(nèi)的每個訪問請求都經(jīng)過身份驗證和授權(quán)。

云身份可以是人類身份或非人類身份。人類身份主要包括終端用戶、開發(fā)人員、DevOps

和云管理員。非人類身份占了絕大多數(shù)，包括與云服務(wù)、API、微服務(wù)、軟件供應鏈、云數(shù)據(jù)平臺等相關(guān)的身份。

"可編程性"是云計算的強大能力之一，開發(fā)人員通過編程方式，組合云服務(wù)、API

和數(shù)據(jù)來創(chuàng)建應用程序。這是一個不容忽視的變化。現(xiàn)代云應用程序?qū)嶋H上是由通過

API

驅(qū)動的許多分布式服務(wù)組裝而來，跨越了不同提供商的生態(tài)系統(tǒng)。當開發(fā)人員構(gòu)建云服務(wù)時，他們創(chuàng)建了具有數(shù)據(jù)訪問路徑的自動身份。

“自動化”是云計算的另一個強大之處。云團隊使用“基礎(chǔ)設(shè)施即代碼”的自動化能力，來輕松地啟動和定義云資源、云身份及其訪問權(quán)限。自動化優(yōu)先，治理其次。云計算創(chuàng)造了一個以身份為中心的世界，圍繞這些身份的差別正是產(chǎn)生"影子訪問"的根本原因。?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有9影子訪問的根本原因影子訪問的根本原因不僅源于擁有云身份，還源于云環(huán)境中固有的復雜性和業(yè)務(wù)流程。復雜性上面提到的“云的強大能力”主要是通過開發(fā)人員和自動化發(fā)布的，而且比以前的環(huán)境要復雜得多。一些顯著的差異包括：

數(shù)據(jù)不再儲在單一存儲中?？缭坪?/p>

SaaS

環(huán)境中廣泛分布著云端數(shù)據(jù)存儲和數(shù)據(jù)共享應用。

全新或更新過的應用程序帶來新的數(shù)據(jù)類型，數(shù)據(jù)存儲因此不斷演變，可能擴展亦或收縮。

應用程序不再是單體的，而是身份系統(tǒng)、云服務(wù)和數(shù)據(jù)等組件相互復雜連接產(chǎn)生的結(jié)合體。

與云端生態(tài)系統(tǒng)相關(guān)聯(lián)的

SaaS

應用程序的使用量大幅增加。

每個云服務(wù)都有相關(guān)的權(quán)限，并有權(quán)利對敏感數(shù)據(jù)和操作進行授權(quán)。

與傳統(tǒng)的本地環(huán)境相比，權(quán)限和授權(quán)的規(guī)模更為龐大，復雜度也高出幾個數(shù)量級。

組織使用多云環(huán)境和公有云/私有云環(huán)境的組合。為了說明這種復雜性，僅在

AWS

中就有

12,800

項云服務(wù)，附帶

13,800

項權(quán)限，從而產(chǎn)生了巨大的云訪問排列組合。?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有10圖2，引自https://aws.permissions.cloud/流程變更在以前的

IT

環(huán)境中，在創(chuàng)建身份并授予訪問權(quán)限之前，通常會先實施嚴格的策略和流程。對于那些已經(jīng)建立了訪問控制的組織來說，身份的創(chuàng)建，以及始終如一的審查和批準過程通常都被納入治理流程中。在這方面，云計算的運作非常不同：

新的身份和訪問權(quán)限通常由使用基礎(chǔ)設(shè)施即代碼的開發(fā)人員集中創(chuàng)建。

新身份的配置文件通常是從一個模板復制過來的，并期望該模板通過了符合組織標準的集中審查程序。

新的身份和訪問權(quán)限通常在幾乎沒有治理的情況下自動創(chuàng)建。

這些身份訪問的應用程序持續(xù)迭代，卻沒有進行完全的訪問審查。

為了加快效率，應用程序的各種組件經(jīng)常被重用、復制或用于多個應用程序。

對沒有正式安全審查的

SaaS

和第三方應用程序的使用越來越多。

應用程序訪問的數(shù)據(jù)存儲在不斷變化。持續(xù)監(jiān)控、審查和權(quán)限調(diào)整需要和原始身份和訪問權(quán)限創(chuàng)建一樣實現(xiàn)自動化，但現(xiàn)實并?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有11非如此。由于云應用是分布式的并且不斷發(fā)展的，一個元素的變化可能對整體暴露產(chǎn)生意想不到的后果。正是應用程序的高度復雜和不斷演變的本質(zhì)，以及圍繞云身份創(chuàng)建和持續(xù)審查的流程的中斷，導致了影子訪問和一系列可能對組織造成巨大風險的潛在暴露。影響如前所述，影子訪問指的是對資源、應用程序和數(shù)據(jù)的非有意或非預期的訪問行為。為了說明其影響，Verizon

數(shù)據(jù)泄露調(diào)查報告(DBIR)強調(diào)，80%的泄漏事件與身份和訪問有關(guān)。云平臺中存儲了海量的數(shù)據(jù)（ZB

級），這推動了對訪問控制的巨大需求。影子訪問的影響包括：

現(xiàn)有的工具無視云身份和訪問路徑的多樣性。

治理和可見性的欠缺使實施

IAM

防護措施變得非常困難。

無法識別的訪問路徑導致漏洞可被利用來泄漏云數(shù)據(jù)。

攻擊者能夠?qū)⒖删幊淘L問武器化，造成的危害會遠超數(shù)據(jù)泄露。

連接到云生態(tài)系統(tǒng)的第三方應用程序和

SaaS

應用程序會帶來橫向移動風險。

影子訪問帶來了數(shù)據(jù)安全、審計和合規(guī)風險，并造成了策略和治理的不足。?

2023

云安全聯(lián)盟大中華區(qū)版權(quán)所有12云身份云系統(tǒng)云數(shù)據(jù)存儲圖

3.

影子訪問存在于公有云生態(tài)系統(tǒng)（如，AWS）的多個系統(tǒng)中本質(zhì)上，環(huán)境的真正安全狀態(tài)永遠是未知的，在分析完成之前，獲取信息的機制和過程通常已經(jīng)過時。其結(jié)果是一個脆弱的環(huán)境，而環(huán)境的所有者沒有辦法真正評估風險?！霸?/p>

CI/CD

生態(tài)系統(tǒng)中存在著成百上千個身份——包括人類和程序化身份——加上缺乏強有力的身份和訪問管理實踐，以及疏于管理的賬戶日常使用，導致了幾乎在任何系統(tǒng)上攻擊任何用戶賬戶，都可能獲得當前環(huán)境下的強大的能力，并可能成為進入生產(chǎn)環(huán)境的過渡?！边@段文字直接摘自

OWASP

Top

10

CI

CD

SEC-2：/www-proje