• 發布單位:TWCERT/CC
• 更新日期:2024-04-25
• 點閱次數:794

    雲端已經不是最新穎的技術，是許多企業經歷數年的雲端旅程，目前雲端服務供應商仍持續透過新的功能和服務不斷演進，然而快速的變動和成長不僅讓企業難以跟上，還有許多企業不慎將安全漏洞引入其環境中。近期CISA釋出「Use Secure Cloud Identity and Access Management Practices」，以嚴格的身份認證和存取控制策略，來確保雲端資料的安全與完整性，本篇我們將先擷取身份管理(Identity Management )內容進行介紹。

• 多因子認證(Multi-factor authentication,MFA)

單一因子認證容易受到憑證竊取、偽造及在多個系統中重複使用的影響，雲端帳戶常常可在全球範圍內存取，因此更容易受到某些類型的單一因子認證弱點的影響。

多因子認證(MFA)能夠提升用戶驗證的安全性，進一步強化防範用戶帳戶被入侵，MFA要求用戶在登入時提供兩個或更多因子：用戶知道的東西、擁有的東西或身份的特徵，通常表示除了密碼外，需要提供第二因子，例如隨機生成的數字代碼、生物特徵(如指紋或臉部識別)或實體認證設備(硬體的唯一識別碼：自然人憑證、通用存取卡等）。

許多類型的MFA都容易受到網路釣魚技術的影響，在可能的情況下，組織應使用抗網路釣魚的MFA方法，例如基於公鑰(PK)的 FIDO(Fast Identity Online)/WebAuthn認證方式或基於公鑰基礎設施(PKI)的多因子認證方式(例如CAC/PIV卡)。

• 憑證最佳實務(Credential Best Practices)

錯誤的配置和不當的處理可能會導致使用者憑證受到惡意利用，為了保護憑證的安全，應注意以下幾點：

   - 避免明文儲存：雲端憑證不應以明文形式儲存，若需要，可以利用密碼管理工具管理憑證，例如使用硬體安全模組（HSM）來保護私密金鑰。
   - 停用記住密碼功能：為進一步降低風險，應停用網站或程式的記住密碼功能。
   - 實施多因子身份驗證（MFA）：在可能的情況下，應實施多因子身份驗證，例如使用一次性PIN碼、PKI Token等。

如果無法使用基於PKI的身份驗證，則可以生成私密金鑰，允許應用程序以程式設計方式管理雲端資源。在發行金鑰時，應該妥善處理這些金鑰，因為攻擊者將其視為有價值的目標，CISA也提供一些建議包括：

1. 最小權限原則：避免使用root或管理權限建立金鑰，並將金鑰僅授予完成操作所需的最低權限
2. 加密儲存：金鑰應由金鑰管理器處理並加密儲存，而不應以明文形式包含在應用程式原始程式碼中或嵌入到二進位檔案中。
3. 使用SSH金鑰：若使用SSH金鑰對連接到雲端託管虛擬機，則應將私鑰儲存在密碼管理器中，並避免共享。

• 聯合身份(Identity federation)

在雲端環境中，組織通常會共享身份資訊，以簡化跨環境的身份管理，這種方式稱為聯合身份(Identity federation)，然而，將本地身份與雲端環境的系統聯合在一起，往往成為攻擊者的目標，因為他們希望在不同環境之間輕鬆移動。為了確保整體安全，保護與監控聯合身份伺服器至關重要，建議執行以下安全措施：

- 使用端點偵測和回應系統識別攻擊的意圖，並定期審核以掌握潛在的危害
- 使用硬體安全模組（HSM）來保護用於聯合身份的憑證和金鑰
- 實施網路分段原則，以隔離重要伺服器

本篇我們先介紹CISA釋出「Use Secure Cloud Identity and Access Management Practices」的身份管理部分內容，身份管理不論在雲端或是地端伺服器管理都十分重要，身份管理部分亦可檢視地端管理機制是否符合安全需求，以確保組織網路資訊安全。