NEWS 新闻动态 > 新闻详情

云资源配置错误后果严重,做好权限管理至关重要

futong 发表于:2020-05-25
摘要:基于角色访问控制为用户提供多级权限服务,以树形结构维护企业组织关系,用户可通过设置细粒度的角色操作权限,轻松管理企业账户。

根据云计算权威组织云安全联盟(CSA)的调查显示,云计算资源配置错误是导致组织数据泄露的主要原因。由于数据规模巨大,在云中管理身份及其权限极具挑战性,它不仅仅包括用户身份,还包括设备、应用程序和服务。由于这种复杂性,许多组织都会出错。

随着时间的推移,这个问题变得越来越严重,因为很多组织在没有建立有效分配和管理权限的能力下扩展了自身的云计算规模。而用户和应用程序往往会积累很多超出技术和业务要求的权限,从而造成较大的权限差距。

了解权限

为了减轻与滥用云中身份有关的风险,组织正在尝试实施最小特权原则,例如应将每个用户或应用程序限制为所需的确切权限。

首先是了解已为给定用户或应用程序分配了哪些权限。接着,对实际使用的那些权限进行清点。两者的比较揭示了权限差距,包括应保留哪些权限以及应修改或删除哪些权限。其中认为过多的权限可以删除或监视并发出警报。同时,通过不断地重新检查环境并删除未使用的权限,组织可以随着时间的推移在云中获得最少的特权。

了解身份和访问管理

以AWS云平台为例,该平台提供了可用的身份和访问管理(IAM)系统,使管理员可以安全地配置对AWS云计算资源的访问。其身份和访问管理(IAM)控件拥有2500多个权限,并且还在不断增加,它使用户可以对在AWS云平台中的给定资源上执行哪些操作进行细粒度控制。而这种控制程度为开发人员和DevOps团队带来了相同的复杂程度。

在AWS云平台中,其角色需要授予特定于应用程序的权限,并将访问策略附加到相关角色。这些可以是由云计算服务提供商创建的托管策略,也可以是由AWS云平台客户创建的内联策略。

对于许多组织而言,如何在云中实施最小权限以减少导致数据泄露或服务中断的访问风险?可以通过使用软件来自动化监视、评估和对所有身份(用户、设备、应用程序等)的访问权限进行管理,以消除风险。

基于角色的细粒度访问控制,让云管理更高效

针对多云环境下的安全管理问题,富通云腾推出的多云管理平台CMP2020在安全审计方面,通过IAM的功能来部署和明确整个企业组织中的用户配置、访问权限、身份验证、Spring Security安全认证等相关的过程为用户提供全面的安全保障,确保信息不泄露,不丢失。它基于角色访问控制为用户提供多级权限服务,以树形结构维护企业组织关系,用户可通过设置细粒度的角色操作权限,轻松管理企业账户。

租户管理

CMP2020设定了两种模式,单租户模式和多租户模式。在单租户(相当于整个企业只有一个总租户的场景)环境中,所有配置均在默认租户中出现;在多租户环境中,每个租户拥有独立的配置,由总租户进行管理。总租户管理员可以配置可以查看和管理多个租户中的配置。

业务组

业务组是相同业务下的云资源放在统一的组下进行管理,可以在业务组中创建预配置的软件堆栈,并为业务组关联用户。

用户管理

每个租户有独立的用户管理。可以创建本地用户,租户A的用户只能访问租户A,不能访问其他租户。多个租户可以使用同一个目录服务。

访问控制

支持多种角色的权限设置,权限和角色是相关的,用户通过关联角色而得到这些角色的权限。一个用户可以拥有多个角色,一个角色可以分配给多个用户。用户可根据不同角色赋予内置角色不同权限,内置角色不允许被删除。

富通云腾多云管理平台CMP2020基于微服务架构研发,主要针对混合与多云服务进行纳管,实现多云环境统一管理、自动化安全运维、保障云支出不再失控并快速完成业务的交付,从而最大限度提高企业IT工作效率和资源利用率,构建弹性计算平台,保障企业业务系统的可用性。 

部分内容来源于“企业网D1Net”。