• 發布單位:TWCERT/CC
• 更新日期:2024-05-13
• 點閱次數:528

面對雲端安全的挑戰，除了透過身份認證方式管控外，CISA同時提出身分識別與存取管理(Identity and Access Management, IAM)策略，安全性應放在使用雲端技術時的首要位置，透過嚴格的身份和存取管理實務，有效地保護雲端環境免受潛在的攻擊威脅, 本篇文章將繼續介紹CISA所提出的存取控制策略重點，來確保雲端資料的安全與完整性。

存取管理(Access management)

• 管理條件性存取(Managing conditional context-based access)

儘管透過安全的密碼、實體驗證設備和多因子認證(Multi-Factor Authentication, MFA)對保護使用者帳戶很重要，但惡意網路攻擊者(Malicious cyber actors, MCAs)仍可能對使用者的帳戶安全構成威脅。為了應對這些威脅，其中一種方法是根據額外的資訊來限制存取，這些資訊通常在政策中定義，可以根據特定條件來限制使用者登入系統的權限，例如，根據來源 IP 位址來阻止未授權地區的嘗試登入。

這些控制措施對於保護特權帳戶（或者擁有廣泛/敏感存取權限的帳戶）至關重要，因為它強制要求管理員只能從組織的本地設施登入這些帳戶。組織應該對其設定的存取限制進行全面稽核和測試，以防止攻擊者利用政策中的漏洞。

• 存取資源的加密通道(Encrypted channels for accessing resources)

在儲存雲端資料時，存取控制是非常重要的。未經授權的存取可能會降低整體安全性，並對運營產生負面影響。為了確保存取資料的安全性，我們可以採取以下措施：

-  確保權限分配符合最小權限原則，並持續驗證存取和管理權限
-  啟用對存取請求和策略變更的監控和記錄
-  及時調查異常活動，以確保資料的安全性
-  使用加密技術保護靜態和傳輸中的資料，並妥善儲存和管理加密金鑰
-  使用 TLS1.2 或更高版本的安全協議，盡可能使用商業國家安全演算法 (CNSA) Suite 2.0 中的演算法，並至少使用 CNSA Suite 1.0 來進行客戶端與雲端資源的連接

• 職責分離(Separation of duties)

分離職責是保護雲端資源的關鍵概念， NIST 將職責分離定義為「不應該授予使用者足夠的權限來單獨濫用系統」。落實這個原則的其中一種方式，是在執行特別敏感操作時需要兩個人控制。另一種方法是透過分離管理員角色來控制資源的存取和管理。例如，金鑰管理服務（Key Management System, KMS）的存取控制管理員擁有授予對保護敏感資料或功能的金鑰所需的權限。然而，這些管理員不應該允許自己被授予可以存取金鑰。儘管某些情況下，一般使用者可能需要建立、管理和使用自己的加密金鑰，但這是提高組織敏感資料安全性的重要方法。

此外，應限制備份資料的寫入權限，以對抗惡意攻擊者用於備份資料的勒索軟體戰術、技術、程序（TTP）。降低雲端環境資料備份外洩風險的其中一種方法，是為需要存取備份檔案的管理員，建立獨立的備份管理帳戶。這些預防措施限制了具有存取憑證的內部威脅者或惡意攻擊者，對受感染的雲端環境造成更多影響。

• 使用者資料保護(User data protections)

控制使用者設備是惡意攻擊者取得組織雲端環境存取權限的常見攻擊途徑，對於雲端使用者來說，在使用裝置存取雲端資源時，應注意保持良好的網路安全習慣，並採取以下措施：

-  定期更新作業系統與應用程式
-  避免打開來自未知寄件者的電子郵件與連結，以減少網路釣魚和惡意軟體感染的風險
-  變更和刪除預設設定（例如預設密碼與預設使用者帳戶）
-  監控帳戶是否有異常的活動
-  檢查URL是否有被修改過，其目的在將使用者引導到偽造的網站
-  考慮使用者使用未受管理的設備（如自攜設備或個人電腦）存取雲端資源的風險和利益

• 權限控制(Privilege controls)

大多數的雲端服務提供商(Cloud Service Provider, CSP)使用兩種方法的混合形式來強化控制存取，一是基於角色的存取控制(Role-based access controls, RBAC)，另一種是基於屬性的存取控制(ABAC)。在使用基於角色的存取控制(RBAC)時，組織會給予角色權限，然後將使用者指派給這些角色，從而授予使用者相應的權限。如果角色的權限發生變更，所有分配了該角色的人都會受到影響。而基於屬性的存取控制(ABAC)則是根據使用者和資源的屬性來控制對資料的存取，提供了比單獨使用RBAC策略更細緻的資源策略保護。

對權限進行規則化是管理企業權限和偵測偏差的其中一種方法，稱為政策即程式碼(Policy as Code, PaC)。這對企業權限管理非常有用，因為它可依現存良好狀態建立相關權限的設定，未來可進行審核和版本控制，並可用於偵測偏差(drift)。有關在雲端環境中使用政策即程式碼的更多詳細信息，可參閱NSA CSI：透過基礎設施即程式碼實施安全自動化部署實務。除了政策即程式碼之外，身份管理系統也能根據業務需求自動分配角色。

考慮實施即時(Just-in-Time, JIT)安全實務，欲提昇應用程式或系統的存取權限，應僅限於預先指定的時段及行為。JIT提升特權時，應該被記錄下來，且需有正當理由，若能追蹤及驗證所要求的權限更好。

最後，避免使用特權帳戶進行日常活動，僅使用特權帳戶進行維護、更新、帳戶管理、威脅狩獵等需要特權存取的作業。定期審核身分識別與存取管理的設定，以確認使用者僅被授予必要的權限。許多雲端服務提供商提供的服務會追蹤未使用的權限，以幫助管理員根據使用者完成日常職責所需，給予最低的權限。但是，在刪除看似未使用的權限時，也需考慮到偶爾或緊急存取的狀況。

• 保護個體中繼資料服務(Securing the cloud instance metadata service)

個體中繼資料服務(Instance Metadata Service, IMDS)允許虛擬實例查詢租戶相關資訊，然而，這個服務可能被惡意使用，以獲取雲端租戶身分識別與存取管理(IAM)憑證的額外存取權限。通常情況下，惡意攻擊者會利用客戶組織在雲端實例中運行應用程式的伺服器端請求偽造(SSRF)漏洞來查詢IMDS。為了防止這種情況發生，應該採用已知的最佳實務來保護應用程式，例如過濾用戶輸入的資料、配置 Web 應用程式防火牆，僅開放需要的實例或帳戶存取IMDS。每個雲端服務提供商的IMDS可能稍有不同，因此，重要的是查閱供應商關於他們的IMDS的最佳實踐指南，以採取所有可能的預防措施來防止服務被誤用。

最佳實務(Best practices)

在雲端運作的組織應該讓員工了解，不當的身分識別和存取管理所造成的安全性問題，以降低資安風險。以下是一些最佳實務建議：

• 身分識別管理

-  強制使用多因子認證(MFA)，提高使用者帳戶的安全性。
-  不要將伺服器 TLS 憑證以明文形式儲存在托管 Web 伺服器的虛擬實例上；應使用密鑰管理器來保護它們。
-  謹慎處理使用者的 PKI 憑證，避免未經授權的取得相關憑證，並及時撤銷被不當取得或不必要的憑證。
-  限制金鑰的使用，僅在需要時提供短期存取權限，並以配置最少的必要權限。
-  保護身分聯合伺服器並定期審核身分聯合，以偵測惡意使用者企圖濫用信任關係。

• 存取管理

-  使用基於上下文的存取控制策略，並定期稽核以識別潛在的漏洞。
-  考慮是否要求管理員使用特權訪問工作站( Privileged Access Workstation, PAW)來存取雲端資源。
-  限制管理帳戶的使用，並使用 JIT (Just-In-Time) 存取來限制特權存取，以改善對特權操作的追蹤。
-  使用安全協議(如 TLS 1.2 或更高版本)和經過批准的密碼套件(最好是CNSA Suite 2.0)來加密通道，並用以連接到雲端資源。
-  根據存取控制的最佳實踐分配權限，遵行職責分離和最小權限原則，並定期審核權限分配和存取請求。
-  考慮使用政策即程式碼來改進存取控制策略的追蹤和稽核，並經常檢查偏差(drift)。
-  透過限制使用者/服務對 IMDS 的查詢權限、使用最新版本、實施供應商特定的最佳實務以及實施適當的安全措施來保護雲端託管應用程式並防止 SSRF 漏洞，從而保護雲端 IMDS。

雲端安全的身份認證和存取控制是確保在雲端環境中資料安全的重要方式之一，而定期的監控、日誌記錄和安全事件應變也是確保雲端安全的重要措施，企業在享受雲端技術的方便性時，亦能透過嚴謹的管理機制保護企業資料安全。