6个tips缓解第三方访问风险

tips,缓解,第三方,访问,风险 · 浏览次数 : 276

小编点评

## Third-Party Risk in Cloud Environments: Mitigating and Relieving the Threat **Introduction:** As cloud adoption rises, the reliance on third-party vendors and partners becomes increasingly prevalent. While it offers numerous benefits, it also introduces potential security risks that can significantly impact an organization's cloud environment. This article explores how to mitigate these risks and alleviate the impact on your business. **Understanding Third-Party Risks in Cloud Environments:** * **Providers:** Software vendors, cloud providers, and other service suppliers. * **Partners:** Companies with whom the organization has established relationships for various services. * **Suppliers:** Businesses that provide goods and services to the organization. **Mitigating Third-Party Risks:** * **Minimize Privileged Access:** Implement strict minimum privilege access control mechanisms to prevent unauthorized access to sensitive data. * **Implement Strong Security Policies:** Establish clear security policies and procedures to govern third-party interactions. * **Use Third-Party Risk Assessment Tools:** Utilize automated tools to identify and assess potential security risks associated with third-party relationships. * **Implement Least Privilege Access:** Grant only the minimum amount of access necessary for each third-party engagement. * **Regularly Monitor Third-Party Security Posture:** Continuously monitor the security posture of third-party vendors to identify and address potential vulnerabilities. **Specific Techniques for Third-Party Risk Management:** * **Minimum Privilege Principle:** Implement strict access control measures to restrict what third-parties can do with sensitive data. * **Contextual Authorization:** Provide context-aware authorization to limit access rights to specific resources. * **Automated Vulnerability Remediation:** Implement automated solutions to identify and remediate vulnerabilities in third-party systems. * **Secure Configuration:** Ensure that third-party systems are configured securely, following industry best practices. * **JIT Access:** Utilize just-in-time access mechanisms for sensitive data to minimize exposure during initial setup. **Conclusion:** By adopting a proactive approach to managing third-party risk, organizations can effectively reduce the potential impact on their cloud environment. By implementing robust security practices, employing automated solutions, and carefully configuring third-party systems, businesses can create a secure and resilient cloud infrastructure that meets evolving business requirements.

正文

随着开发和交付的压力越来越大,许多企业选择依赖第三方来帮助运营和发展业务。值得重视的是,第三方软件及服务供应商和合作伙伴也是云环境攻击面的重要组成部分。尽管企业无法完全切断与第三方的关联,但可以在向他们提供进入单一云和多云环境的权限时强制执行最小特权原则。本文将带你了解如何缓解云端业务第三方风险对企业的影响以及缓解相应风险的技巧。
 

第三方对云环境的影响

第三方,包括供应商、承包商、合作伙伴,甚至云提供商,都是企业业务生态系统的基本组成部分。他们从各个方面帮助企业实现业务增长,包括从软件工程和 IT,到营销和业务发展,再到法律和战略。而这些第三方有许多与其他第三方合作来实现自己的业务,这种环环相扣的关联模式形成了公司和网络的供应链。
 

但是这些第三方和供应链也在云环境中制造了巨大的漏洞风险。根据 IBM 的 2022 年数据泄露成本报告,19% 的泄露是由供应链受损造成的,而第三方泄露的平均总成本高达 446 万美元。此外,与其他类型的泄露行为的全球平均水平相比,识别和阻止第三方泄露平均需要 26 天的时间
 

第三方漏洞不仅与软件有关,不同、不匹配和/或低于组织标准的安全实践也会产生漏洞。例如,某些第三方可能不注重密码安全。在其他情况下,他们可能会重复使用凭据或不小心错误地配置了他们的环境。一旦这些第三方获得对企业供应商的访问权限,恶意攻击者就可能很容易访问企业环境。企业往往倾向于将合作的第三方视为受信任的实体,因此第三方通常被授予对敏感资源的访问和控制权。但是由于人为错误、疏忽或不了解,这些权限有时会被有意或无意地过度特权化,这时攻击者就可以利用这种信任并破坏企业环境。
 

第三方风险不同于本地风险

在云端,第三方和供应链参与者的过度信任比内部部署环境更具风险。本地服务器和组件能够划定网络边界并实施安全控制来保护这些边界,例如防火墙。但在云端,基础设施是分布式的并驻留在公共基础设施上,因此无法对其进行安全控制。这意味着正在使用的安全策略和解决方案(如第三方PAM)不再生效。
 

此外,云的分布式特性,以及员工工作对基于云的资源(例如,SaaS 应用程序)的依赖,已经改变了连接需求。经历上云的企业现在依赖身份和凭证作为提供对公司资源的访问的主要手段,使身份成为新的安全边界。同时,云已经将许多架构从单体架构转变为微服务架构,以支持更高的开发敏捷性。这些云服务现在也需要数字身份作为其访问资源的主要手段。
 

愈发复杂的身份管理

在云端,IT、DevOps、Security 和 DevSecOps 现在管理着数量庞大的新数字组织身份,每个身份都有复杂的权限子集,这些权限决定了他们可以访问哪些资源以及他们可以对这些资源采取的操作。在身份定义安全联盟 (IDSA) 进行的2022 年安全数字身份调查趋势中,52% 的安全专业人士认为上云是企业身份增长的驱动力
 

管理和监控这些身份及其权限极其复杂。大量的身份和复杂的权限相结合的情况下,人为错误变得难以避免。根据 Verizon 的2022 年数据泄露调查报告发现凭据泄露是企业主要安全问题。根据研究发现,勒索软件成功的原因主要为错误配置身份、有风险的第三方身份和有风险的访问密钥。换句话说,第三方凭据是攻击公司和泄露其数据的重要原因,因此保护第三方凭证需要成为安全策略的关键部分。
 

在云端实施第三方最小权限原则

管理和监控最小权限原则时所需的详细程度、数据范围和决策速度要求“自动化”。企业可以通过自动化和最小特权来降低第三方风险。以下是确保自动化机制能够保护企业免受第三方风险且权限最小的六个要点:

1. 检查不必要的第三方权限

云端的权限管理是十分复杂的。自动化的多云监控机制将检查第三方凭据是否存在过多权限或错误组合,并通过向第三方提供访问敏感数据和修改基础设施等能力来确定这些权限是否违反了最小特权原则。
 

2. 根据上下文进行监控

现代安全策略需要以上下文方式应用安全控制。对于权限,必须提供权限范围的上下文。过多的权限,即超出最小特权原则的权限,是应该被监控和减少的权限。自动安全控制提供了将帐户和服务标记为受信任的机制,从而减少了错误警报。
 

3. 自动修复第三方漏洞

数量庞大的警报会让开发、IT 和安全团队陷入疲劳,因此使用自动化解决方案十分必要。自动化解决方案可以提供推荐策略并在企业的工作流程中自动修复,甚至可以通过 IaC左移优化策略,只留下一些关键问题让相关团队来判断和解决,从而有效减少处理大量警报的时间。
 

4. 设置权限门槛

通过设置权限门槛来限制不同身份可以执行的操作,这有助于通过限制用户可以做什么的潜力来最小化风险。设置自动化权限门槛对于第三方来说尤为重要,因为 IT 团队通常会因为合作关系更容易为他们提供过多的访问权限或直接接受云供应商的默认配置,而不去深入研究并弄清楚如何限制他们的权限他们实际需要的资源。
 

5. 确保使用便利性

请确保自动化解决方案的简易使用性。将自动化解决方案集成到开发及安全团队的工作流程中,通过与容易理解的仪表盘、清晰的说明和 CI/CD 流水线相结合,让第三方身份管理变得更简单便捷。
 

6. 交付 JIT 访问

JIT(Just-In-Time 即时)访问是一种安全原则,在有限的时间内为用户提供访问权限,然后将其撤销。JIT 在用户需要许可权利来完成特定任务时很有用,例如当开发人员需要修复生产中的错误时。安全的自动化解决方案也将支持第三方的 JIT 访问。这样,如果供应商需要访问敏感环境以解决与工作相关的重要问题,企业可以为他们提供此类访问权限,而不会给攻击者可乘之机。
 

结论

从业务角度来看,第三方与任何内部部门一样都是企业业务的一部分。但从安全角度来看,需要有意识地和战略谨慎地区分这些主体。企业无法控制第三方的安全策略,因此存在着巨大的安全风险。要管理这类漏洞,可以通过强制执行最小权限和 JIT 访问的自动化安全解决方案,自动化权限管理和监控通过仅向第三方(包括开发人员)分配他们需要的访问权限来降低访问风险。这将是平衡和保障云端业务连续性和安全性的有效方式。

与6个tips缓解第三方访问风险相似的内容:

6个tips缓解第三方访问风险

随着开发和交付的压力越来越大,许多企业选择依赖第三方来帮助运营和发展业务。值得重视的是,第三方软件及服务供应商和合作伙伴也是云环境攻击面的重要组成部分。尽管企业无法完全切断与第三方的关联,但可以在向他们提供进入单一云和多云环境的权限时强制执行最小特权原则。本文将带你了解如何缓解云端业务第三方风险对企

6个实例带你解读TinyVue 组件库跨框架技术

本文分享自华为云社区《6个实例带你解读TinyVue 组件库跨框架技术》,作者: 华为云社区精选。 在DTSE Tech Talk 《 手把手教你实现mini版TinyVue组件库 》的主题直播中,华为云前端开发DTSE技术布道师阿健老师给开发者们展开了组件库跨框架的讨论,同时针对TinyVue组件

6个步骤强化 CI/CD 安全

快速的数字化和越来越多的远程业务运营给开发人员带来了沉重的负担,他们不断面临着更快推出软件的压力。尽管CI/CD 加速了产品发布,但它容易受到网络安全问题的影响,例如代码损坏、安全配置错误和机密管理不善。通过应用最佳实践来保护 CI/CD 流水线,可以确保代码质量、管理风险并保持完整性。鉴于 CI/

6个优化策略,助你降低K8S成本

Kubernetes 早已成为容器编排引擎的事实标准,而随着 Kubernetes 环境的复杂性持续增长,成本也在不断攀升。CNCF 发布的调查报告《Kubernetes 的 FinOps》显示,68%的受访者表示 Kubernetes 开销正在上涨,并且一半的人所在的组织经历了每年超过20%的开销

6个常见的IB网络不通问题

摘要:如果遇到IB网络不通,可以试着从高层往底层逐步分析看看。 本文分享自华为云社区《常见IB网络不通问题记录》,作者: tsjsdbd 。 如果遇到IB网络不通,可以试着从高层往底层逐步分析看看。仅记录下,供难友参考: 一、NCCL不通 报错: machine-19: [0] transport/

[转帖]分享6个SQL小技巧

https://www.jianshu.com/p/2fcf0a4e83b7 简介 经常有小哥发出疑问,SQL还能这么写?我经常笑着回应,SQL确实可以这么写。其实SQL学起来简单,用起来也简单,但它还是能写出很多变化,这些变化读懂它不难,但要自己Get到这些变化,可能需要想一会或在网上找一会。 各

应用部署初探:6个保障安全的最佳实践

在之前的文章中,我们了解了应用部署的阶段以及常见的部署模式,包括微服务架构的应用应该如何部署等基本内容。本篇文章将介绍如何安全地部署应用程序。 安全是软件开发生命周期(SDLC)中的关键部分,同时也需要成为 SDLC 中每个环节的一部分,尤其是部署。因此,保障应用部署安全并不是开始于部署阶段,而是从

Java并发篇:6个必备的Java并发面试种子题目

免费体验AI绘画:https://www.topgpt.one;文章涉及了几个常见的并发编程相关的主题。首先,线程的创建和生命周期是面试中常被问及的话题,面试官可能会询问如何创建线程、线程的状态转换以及如何控制线程的执行顺序等。其次,synchronized关键字是用于实现线程同步的重要工具,面试中可能会涉及到它的使用场景以及与其他同步机制的比较。此外,抽象队列同步器(AQS)是Java并发编程中

.NET 9 预览版6发布

微软发布了 .NET 9 的第 6 个预览版,此版本包括对运行时、SDK、.NET MAUI、ASP.NET Core 和 C# 的更新,预览版没有包含太多新的主要功能或特性,因为已接近 .NET 9 开发的最后阶段,该开发计划于 11 月全面发布。Loongarch的Native-AOT代码合进去

编写Java代码时应该避免的6个坑

通常情况下,我们都希望我们的代码是高效和兼容的,但是实际情况下代码中常常含有一些隐藏的坑,只有等出现异常时我们才会去解决它。本文是一篇比较简短的文章,列出了开发人员在编写 Java 程序时常犯的错误,避免线上问题。 # 1、大量使用 Enum.values `Enum.Values()` 的问题在于