每日分享最新，最流行的軟體開發知識與最新行業趨勢，希望大家能夠一鍵三連，多多支援，跪求關注，點贊，留言。

當今企業和公共實體必須管理的攻擊面從未像現在這樣複雜且難以保護。在過去十年中，雲和 SaaS 產品的引入導致了看似不可逾越的 IT 蔓延，現在有三分之一的成功攻擊是透過非託管或幾乎未知的資產發生的。雖然影子 IT 是許多組織面臨的緊迫威脅，但軟體開發生命週期向雲的遷移——以及機器身份的興起——正在以深刻的方式加劇攻擊面。從 2010 年代軟體開發的敏捷和精益戰略中脫穎而出，DevOps 早於雲計算的主流化。

但是，一旦基於雲的 IT 資源的價值得到廣泛認可，開發團隊就開始將他們的開發環境大規模遷移到雲中——以至於今天許多人認為 DevOps 和雲密不可分。Gartner 最近的研究表明，企業 IT 支出的大部分現在都用於雲專案。事實上，對於應用軟體、基礎設施軟體、業務流程服務和系統基礎設施等 IT 類別，到 2025 年，超過 51% 的 IT 支出將從傳統解決方案轉移到公共雲。僅應用軟體一項就有近三分之二的支出到 2025 年將被導向雲端。

雲 DevOps 的爆炸式增長帶來了所管理的特權、憑據、身份和訪問許可權的數量大幅增加。我們都熟悉數字身份和訪問管理（IAM） 如何透過使用者名稱和密碼的組合在傳統設定中工作。在 DevOps 世界中，雲容器可以作為與其他程序互動（機器對機器通訊）的不同微服務程序執行，身份和許可權通常透過 SSL/TLS 證書進行管理。這些機器身份已成為多個行業的關鍵安全優先事項，不僅因為它們呈指數級增長，還因為缺乏可供 IT 安全團隊使用的有效工具和策略。

機器身份 - 問題範圍

最近對 1，000 名 CIO 進行的一項全球調查發現，到 2022 年，平均每個組織管理的機器身份為 250，000 個，預計到 2024 年這一數字將翻一番。該研究還發現，83% 的組織過去曾遭受與機器身份相關的中斷年，有 57% 的組織在同一時間段內至少經歷過一次與受損機器身份相關的資料洩露或安全事件。

由於多年來構成 IT 安全最佳實踐基礎的外圍防禦解決方案和策略在雲環境中幾乎沒有用處，因此安全管理員不得不依靠現有的 IAM 和特權訪問管理 （PAM） 工具來保護資料、帳戶、和開發管道。毫不奇怪，身份和訪問許可權已成為雲中的主要攻擊媒介，與幾年前相比，攻擊者在企業內的目標漏洞數量呈指數級增長。我們已經看到這些弱點在最近備受矚目的違規和攻擊中發揮了作用，例如 SolarWinds、Codecov 和 PHP。

採用零信任原則來保護 DevOps 管道

對於今天的 DevOps 團隊來說幸運的是，面向雲的許可權管理技術近年來發展迅速，特別是在雲基礎設施權利管理 （CIEM） 和基於時間的角色訪問管理或即時特權的類別中。CIEM 解決方案針對雲環境特有的安全弱點和流程漏洞。其中包括缺乏對使用者、組和角色許可權的深入可見性，這共同使得難以對雲基礎設施和應用程式中的使用者活動進行監督和控制。傳統方法（如 IAM 和 PAM）主要用於保護組織內的資料、應用程式和使用者，而 CIEM 旨在管理許可權風險以防止雲洩露和資料被盜。

新興的 CIEM 解決方案帶來了發現、監控和審計方面的高階功能，以顯著拓寬 IT 安全專業人員對 DevOps 流程的可見性。使用 CIEM 解決方案，安全團隊可以掃描雲應用程式以查詢現有使用者、組、角色和授予的許可權，直至資源級別。可以對每個使用者、組、角色和特權進行分類，以識別和驗證特權使用者是否具有適當的訪問級別。可以生成訪問報告以簡明扼要地概述具有最多許可權和最高風險的使用者和組。

在審計方面，CIEM 解決方案提供了跟蹤和報告許可權級別以及與這些許可權相關的所有活動的能力。透過這種方式，可以生成供內部和外部審計人員使用的特權訪問報告，以確保符合法規和其他要求，例如 SOX、GDPR、HIPAA、GLBA、PCI-DSS、ISO 27001、SOC 2、FedRAMP 等。 同樣，由於能夠監控所有云應用程式的特權訪問，安全團隊可以應用行為分析來識別使用者的特權濫用和異常活動。與傳統的 SIEM 工具一樣，CIEM 解決方案將向管理員生成可疑活動或行為的警報，例如，如果使用者試圖規避阻止直接特權訪問雲服務的策略。

即時特權和零常設特權

重要的是，CIEM 解決方案還有效地消除了基於最小特權訪問和零信任原則的雲資源的長期特權。許可權的自動授予和到期——即時 （JIT） 許可權授予——在最大限度地減少攻擊面方面非常有效。因為這些 JIT/零常設特權 （ZSP） 解決方案在零信任模型上工作，所以沒有人也沒有任何人可以信任對雲帳戶和資料的常設訪問。

使用 JIT 許可權，提升的許可權可以在會話或任務期間延長，也可以延長一段時間。任務完成後，這些提升的許可權將自動撤銷——所有這些都無需系統管理員參與。如果使用者以前擁有可能一次持續數月的長期訪問許可權，則轉換為 JIT 授權會將攻擊面壓縮到每月數小時。此外，JIT 許可在很大程度上使組織不必維護特權帳戶和非特權帳戶併為其付費。動態金鑰生成——動態金鑰是按需生成的，並且是客戶端獨有的，而不是提前定義和共享靜態金鑰——也為保護臨時部署的服務和功能提供了更好的模型。

DevOps 和 DevSecOps 在更廣泛的計算機科學和網路安全領域中仍然是新的和快速發展的概念。毫無疑問，DevOps 在加速自動化和加快創新應用程式和業務服務的上市時間方面取得了巨大成功。然而，迄今為止，安全解決方案提供商一直在努力應對雲訪問管理。換句話說，他們一直在努力加速特權訪問解決方案，以保護 DevOps 團隊使用的裝置、資料和資源，尤其是在跨雲環境中。使用 JIT 特權授予和採用 ZSP 原則的動態許可平臺在解決這些問題方面顯示出巨大的希望。