多云的企业身份治理和访问权限是优先事项
|
AppsFlyer的安全团队将身份治理和访问权限管理作为了2020年的优先事项。对于开发人员、DevOps和数据科学家来说,目标是确保实施最小权限访问,并且其策略能够适合每个用户的配置文件。 然而,在大型云环境中很难管理访问权限的使用。此外,AppsFlyer还希望能够审核授予基础架构的所有访问权限,以限制对重要资源的高风险访问,强化环境,并删除未使用的用户、角色和权限。 最大的挑战之一是提供可见性,因为云中有太多的移动部件,很容易就启动更多的资源和基础设施,Flechter说。“例如,开发人员可以添加新的实例和存储桶,以及分配不同的访问权限和权利,”他说。 为了应对各种挑战,AppsFlyer部署了一个来自Ermetic的权限管理系统。“在我们选择Ermetic之前,我们根据安全需求对云基础架构授权管理产品进行非常全面的评估,”Flechter说。“该产品需要支持多个云提供商。我们希望该解决方案能够支持运营,而不仅仅是提供可见性。它需要帮助我们弥补安全漏洞。最后,我们还希望能够从工具内部修复问题,并与其他自动化工具进行集成。” “我认为安全工具只有在能够同时支持运营流程的情况下才是有效的,”Flechter说。“如果它只提供了良好的可视性,那么它就只是一个不错的仪表板。还需要平台提供所需的操作能力,以支持根据其提供的可见性来执行活动。” AppsFlyer开始时是逐步将该平台推广到其不同的云环境中的,一次一个。连接到每个云平台都很容易,因为它们都支持API集成来获得读取权限,Flechter说。每次连接只需要不到15分钟。 “一旦我们开始从Ermetic中获取了数据,我们马上就发现了我们环境中的安全漏洞,并开始修复这些漏洞,”Flechter说。该平台不需要任何微调就能开始发现风险,他说。 该系统可以根据资产的敏感性和风险,对需要首先解决的问题进行优先排序。一个例子是访问一个对外界开放的AWS S3 bucket。bucket是AWS的Simple Storage Service产品中所提供的公共云存储资源“它将被标记为更高优先级的过度许可,即使该许可本身不是特权或行政许可的,”Flechter说。
AppsFlyer安全团队会使用该平台审核所有第三方对其环境的访问,并删除所有不再使用的SaaS应用程序,包括一些安全和优化工具。该团队还审查了有权访问敏感数据的应用程序,并删除了不必要的权限。 (编辑:凉山站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
