對(duì)于在云中進(jìn)行操作的企業(yè)來說，特權(quán)用戶管理是非常重要的。專家Dave Shackleford在本文中介紹了一些最佳做法以幫助確保云訪問控制的安全性。

很多企業(yè)正試圖針對(duì)他們雇員所使用的各種云應(yīng)用和服務(wù)來確保用戶賬戶的安全性，其中的原因很合理：越來越多的攻擊者通過諸如網(wǎng)絡(luò)釣魚攻擊和驅(qū)動(dòng)下載等方法將云賬戶和登陸憑據(jù)作為攻擊目標(biāo)，以求獲得訪問企業(yè)數(shù)據(jù)的權(quán)限。雖然企業(yè)用戶已經(jīng)非常注意對(duì)用戶賬戶的保護(hù)，但是如果root賬戶和管理員賬戶被攻破，那么所帶來對(duì)企業(yè)的破壞性影響將是更為驚人的。

例如，讓我們來看看Code Spaces的例子，這家公司的亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）管理門戶是在2014年被入侵的。一旦攻擊者進(jìn)行訪問，公司的整個(gè)基礎(chǔ)設(shè)施架構(gòu)就赤裸裸地暴露在攻擊者面前，這最終導(dǎo)致了企業(yè)的倒閉。那么，企業(yè)用戶應(yīng)當(dāng)如何保護(hù)與其環(huán)境相關(guān)聯(lián)的特權(quán)賬戶，并實(shí)施強(qiáng)大的特權(quán)用戶管理呢？

在大多數(shù)的基礎(chǔ)設(shè)施即服務(wù)（IaaS）云中，存在著若干種形式的管理員訪問或root訪問。在默認(rèn)情況下，IaaS環(huán)境需要系統(tǒng)創(chuàng)建一個(gè)特殊的用戶賬號(hào)作為初始管理員，這個(gè)特殊帳戶通常僅通過用戶名或者帶有密碼的電子郵件進(jìn)行身份驗(yàn)證。然后，這個(gè)初始管理員賬戶就可以配置環(huán)境并創(chuàng)建新的用戶和組。諸如微軟公司Active Directory之類的用戶目錄也可被鏈接至云訪問權(quán)限，從而根據(jù)企業(yè)內(nèi)部角色向眾多的管理員提供云訪問權(quán)限。很多IaaS系統(tǒng)鏡像或模板也都包括了一個(gè)默認(rèn)的用戶賬戶，這個(gè)賬戶擁有相應(yīng)的特權(quán)。在AWS Machine Images中，這個(gè)默認(rèn)的用戶賬戶就是“ec2-user”。

特權(quán)用戶管理的基本概念

首先，企業(yè)組織應(yīng)當(dāng)重新審視特權(quán)用戶管理的核心概念，其中包括了職責(zé)分離和最低權(quán)限訪問模式。很多云供應(yīng)商都提供了內(nèi)置的身份驗(yàn)證和訪問管理工具，這些工具允許用戶組織按照實(shí)際需要為每一個(gè)用戶和工作組創(chuàng)建不同的策略。這就讓安全團(tuán)隊(duì)能夠幫助設(shè)計(jì)出符合最低特權(quán)原則的策略，即根據(jù)用戶的角色不同而賦予不同用戶能夠執(zhí)行其操作所絕對(duì)必需的權(quán)限。

對(duì)于在其應(yīng)用內(nèi)部不支持粒度角色和特權(quán)模式的云供應(yīng)商，也許可以通過使用一個(gè)身份驗(yàn)證即服務(wù)供應(yīng)商來達(dá)到這一目的，這個(gè)供應(yīng)商將在內(nèi)部憑證存儲(chǔ)和云供應(yīng)商環(huán)境之間代理身份認(rèn)證信息，它同時(shí)也可用作一個(gè)單點(diǎn)登錄門戶。

對(duì)于訪問云環(huán)境的所有特權(quán)用戶賬戶而言，使用多重因素身份驗(yàn)證方式應(yīng)當(dāng)是強(qiáng)制性執(zhí)行的一項(xiàng)措施，這一強(qiáng)制性措施本來完全可以防止惡意攻擊者對(duì)Code Spaces控制的初始損害。很多供應(yīng)商都提供了各種各樣不同形式的多重因素訪問方法，其中包括了最終用戶端點(diǎn)證書、來自領(lǐng)先多重因素解決方案供應(yīng)商的軟硬令牌、以及SMS代碼等——雖然這些方法的安全性都不盡相同，但總是聊勝于無的。

在理想情況下，擁有管理員特權(quán)的所有用戶都應(yīng)在所有類型云環(huán)境中使用一個(gè)已獲批準(zhǔn)的多重因素方法來訪問管理控制臺(tái)和任何其他敏感IT資產(chǎn)或服務(wù)。對(duì)于大多數(shù)企業(yè)用戶而言，軟令牌和證書一定會(huì)在實(shí)踐中被證明是特權(quán)用戶管理中最可行且最安全的選項(xiàng)。

最后，控制管理員訪問和root訪問的一個(gè)關(guān)鍵方面就是它們都是通過加密密鑰的管理與監(jiān)控來實(shí)現(xiàn)的。大多數(shù)的管理員賬戶（尤其是那些默認(rèn)系統(tǒng)鏡像中內(nèi)置的管理員賬號(hào)，例如亞馬遜實(shí)例中的ec2-user）都是需要使用私鑰來進(jìn)行訪問的。這些密鑰一般都是在創(chuàng)建用戶時(shí)生成的，或者也可以獨(dú)立生成密鑰，用戶應(yīng)當(dāng)非常小心地做好密鑰管理以防止任何對(duì)賬戶的非法訪問，其中尤其是管理員賬戶或root用戶賬戶。

作為特權(quán)用戶管理中的一部分，安全與運(yùn)行團(tuán)隊(duì)?wèi)?yīng)當(dāng)確保密鑰在企業(yè)內(nèi)部以及在云的安全性，理想情況下應(yīng)當(dāng)將密鑰保存在一個(gè)硬件安全模塊中或者其他專門用于控制加密密鑰的高度安全平臺(tái)中。需要將密鑰集成至部署渠道的開發(fā)人員還應(yīng)當(dāng)使用工程設(shè)計(jì)的成熟工具來保護(hù)這一敏感信息，例如Ansible Vault 或 Chef加密數(shù)據(jù)包。

為了確保特權(quán)用戶賬戶不被濫用，安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)在云環(huán)境中收集和監(jiān)控可用的日志，并使用諸如AWS CloudTrail之類的內(nèi)置工具或商用日志記錄和事件監(jiān)控工具與服務(wù)。