云端自動(dòng)化的廣泛采用，意味著系統(tǒng)ID數(shù)量的增長(zhǎng)速度是人類用戶的兩倍。因?yàn)椋诙嘣骗h(huán)境下，越權(quán)（over-privileged）的系統(tǒng)ID可以更快、更高效地執(zhí)行從運(yùn)行腳本到修補(bǔ)漏洞的各項(xiàng)任務(wù)，而且其犯的錯(cuò)誤比人類用戶少。雖然系統(tǒng)ID可以快速無(wú)誤地完成任務(wù)并提高生產(chǎn)力，但這種跨不同云應(yīng)用程序的廣泛使用，使組織很難獲得對(duì)系統(tǒng)ID的可見性，及強(qiáng)制執(zhí)行最低權(quán)限訪問(wèn)。這就是為什么跨云管控系統(tǒng)ID和實(shí)施機(jī)密管理至關(guān)重要的原因，不這么做會(huì)加大組織的攻擊面，并危及業(yè)務(wù)運(yùn)營(yíng)。

　　系統(tǒng)ID數(shù)量的激增，需要安全團(tuán)隊(duì)加強(qiáng)監(jiān)管工作，因?yàn)榱私馐褂媚男?quán)限、使用多頻繁以及在什么情況下使用至關(guān)重要。如果組織打算充分享用跨云自動(dòng)化的好處，就必須成功地管理身份和訪問(wèn)。這在CloudOps團(tuán)隊(duì)中尤其如此，他們的工作是迅速地構(gòu)建和交付產(chǎn)品，云構(gòu)建團(tuán)隊(duì)為了不阻礙開發(fā)效率，會(huì)為新任務(wù)（比如應(yīng)用程序動(dòng)態(tài)測(cè)試）創(chuàng)建新的系統(tǒng)ID，這可能妨礙管理的可見性和用戶責(zé)任制。很多時(shí)候，組織往往意識(shí)不到到云端系統(tǒng)ID方面的嚴(yán)重風(fēng)險(xiǎn)。如果組織中普遍存在系統(tǒng)ID訪問(wèn)權(quán)限過(guò)大且不受管理的情況，就會(huì)加大其攻擊面和風(fēng)險(xiǎn)。一旦攻擊者劫持了權(quán)限過(guò)大的身份，就可以橫向移動(dòng)，進(jìn)而訪問(wèn)整個(gè)環(huán)境。

　　例如，早在上世紀(jì)90年代后期，工程師就在Linux上使用服務(wù)ID來(lái)運(yùn)行cronjob（計(jì)劃任務(wù)），這需要運(yùn)行腳本和更新報(bào)告之類的批處理任務(wù)。直到今天，人類仍依靠系統(tǒng)完成這些類型的任務(wù)。問(wèn)題在于，在現(xiàn)代多云環(huán)境下，管理完成這些工作的系統(tǒng)要復(fù)雜得多——組織使用眾多平臺(tái)的數(shù)千個(gè)系統(tǒng)ID，使其缺乏可見性和控制度，安全團(tuán)隊(duì)可能不知道哪些ID執(zhí)行哪些工作，因?yàn)樗鼈兪怯稍茦?gòu)建者設(shè)置的，這就大大增加了攻擊者的攻擊面。

　　從行為的角度來(lái)看，預(yù)測(cè)與系統(tǒng)ID相關(guān)的活動(dòng)可能很困難。畢竟，系統(tǒng)偶爾會(huì)出現(xiàn)隨機(jī)行為，完成超出通常職責(zé)范圍的任務(wù)。但是當(dāng)安全負(fù)責(zé)人試圖審核ID用戶權(quán)限時(shí)，他們會(huì)發(fā)現(xiàn)一長(zhǎng)串費(fèi)解的可能沒必要的ID。這導(dǎo)致危險(xiǎn)的停滯狀態(tài)。如果組織中有太多權(quán)限訪問(wèn)數(shù)量不明的系統(tǒng)ID在人為干預(yù)之外運(yùn)行，會(huì)導(dǎo)致威脅加大。組織應(yīng)設(shè)法獲得跨所有云平臺(tái)（IaaS、DaaS、PaaS和SaaS）的可見性，并控制系統(tǒng)ID的特權(quán)訪問(wèn)。

　　理想情況下，這種管控來(lái)自單一的管理平臺(tái)，授予和撤銷權(quán)限就像點(diǎn)擊按鈕一樣簡(jiǎn)單。至于系統(tǒng)ID的權(quán)限，安全團(tuán)隊(duì)?wèi)?yīng)該像對(duì)待人一樣對(duì)待系統(tǒng)ID，采用零常設(shè)權(quán)限（ZSP）政策——ZSP是多云安全的基準(zhǔn)。這意味著摒棄靜態(tài)權(quán)限或機(jī)密、撤銷越權(quán)帳戶，以及消除過(guò)時(shí)或不必要的帳戶。這聽起來(lái)像是復(fù)雜而艱巨的任務(wù)，卻是保護(hù)云環(huán)境的必要步驟。幸好，現(xiàn)在有幾種解決方案可以幫助組織獲得可見性、實(shí)施控制以及不中斷業(yè)務(wù)運(yùn)營(yíng)。

　　降低多云環(huán)境下越權(quán)系統(tǒng)ID風(fēng)險(xiǎn)的五種手段

　　1.對(duì)所有用戶（人類和非人類）使用即時(shí)（JIT）權(quán)限訪問(wèn)

　　無(wú)論在會(huì)話或任務(wù)持續(xù)期間、或是指定的時(shí)間段內(nèi)，還是用戶手動(dòng)重新核查配置文件，都需要對(duì)所有用戶（用戶和機(jī)器ID）使用即時(shí)（JIT）權(quán)限訪問(wèn)，一旦任務(wù)完成，這些權(quán)限就被自動(dòng)撤銷。

　　2.保持零常設(shè)權(quán)限

　　動(dòng)態(tài)添加和刪除權(quán)限，使企業(yè)CloudOps團(tuán)隊(duì)能夠保持零常設(shè)權(quán)限（ZSP）安全態(tài)勢(shì)。它適用于零信任概念，意味著在默認(rèn)情況下，沒有任何人或設(shè)備可以一直訪問(wèn)企業(yè)的云帳戶和數(shù)據(jù)。

　　3.集中和擴(kuò)展權(quán)限管理

　　使用靜態(tài)身份時(shí)，盡量減少散亂現(xiàn)象是一大挑戰(zhàn)，如今許多CloudOps團(tuán)隊(duì)在努力使用Excel電子表格來(lái)手動(dòng)管理ID和權(quán)限。集中式配置可以跨所有云資源自動(dòng)執(zhí)行這個(gè)過(guò)程，從而大大降低出錯(cuò)、及帳戶和數(shù)據(jù)面臨更大風(fēng)險(xiǎn)的可能性。

　　4.借助高級(jí)數(shù)據(jù)分析（ADA）獲得統(tǒng)一的訪問(wèn)可見性

　　ADA使團(tuán)隊(duì)能夠從單一管理平臺(tái)跨所有平臺(tái)監(jiān)控整個(gè)環(huán)境，這項(xiàng)功能可識(shí)別每個(gè)組織特定的權(quán)限訪問(wèn)問(wèn)題，并讓負(fù)責(zé)管理數(shù)千個(gè)用戶ID的安全團(tuán)隊(duì)能夠做到心中有數(shù)。

　　5.將機(jī)密管理引入到CI/CD流程中

　　可以實(shí)時(shí)授予和撤銷JIT機(jī)密，這在CloudOps需要啟動(dòng)臨時(shí)服務(wù)時(shí)很理想，它自動(dòng)執(zhí)行通過(guò)策略來(lái)調(diào)用的共享機(jī)密輪換機(jī)制，并保護(hù)和簡(jiǎn)化入職和離職流程。

　　有限的可見性阻礙了安全團(tuán)隊(duì)，并加劇了原本很復(fù)雜的情形。擁有越權(quán)訪問(wèn)的系統(tǒng)ID過(guò)多，意味著組織在保護(hù)多云環(huán)境時(shí)面臨重大挑戰(zhàn)。但是如果能定義誰(shuí)在什么權(quán)限下使用特權(quán)帳戶、撤銷不必要的訪問(wèn)，以及運(yùn)用即時(shí)權(quán)限訪問(wèn)，組織就可以保護(hù)多云環(huán)境，并放心地部署自動(dòng)化流程。

　　沒人知道如今在云端到底使用了多少系統(tǒng)ID，我們只知道這個(gè)數(shù)字在迅速增加。雖然這種增加表明了業(yè)務(wù)運(yùn)營(yíng)有所改善，但也表明了需要?jiǎng)討B(tài)可靠的安全解決方案。多云環(huán)境下工作的團(tuán)隊(duì)?wèi)?yīng)與能夠跨云環(huán)境確保安全，又不干擾運(yùn)營(yíng)的安全合作伙伴合作。這對(duì)于確保關(guān)鍵基礎(chǔ)設(shè)施的安全性和功能性至關(guān)重要。