建立安全的雲端環境:身分認證與存取管理實務(上)
憑證最佳實務(Credential Best Practices)
錯誤的配置和不當的處理可能會導致使用者憑證受到惡意利用,為了保護憑證的安全,應注意以下幾點:
- 避免明文儲存:雲端憑證不應以明文形式儲存,若需要,可以利用密碼管理工具管理憑證,例如使用硬體安全模組(HSM)來保護私密金鑰。
- 停用記住密碼功能:為進一步降低風險,應停用網站或程式的記住密碼功能。
- 實施多因子身份驗證(MFA):在可能的情況下,應實施多因子身份驗證,例如使用一次性PIN碼、PKI Token等。
如果無法使用基於PKI的身份驗證,則可以生成私密金鑰,允許應用程序以程式設計方式管理雲端資源。在發行金鑰時,應該妥善處理這些金鑰,因為攻擊者將其視為有價值的目標,CISA也提供一些建議包括:
1. 最小權限原則:避免使用root或管理權限建立金鑰,並將金鑰僅授予完成操作所需的最低權限
2. 加密儲存:金鑰應由金鑰管理器處理並加密儲存,而不應以明文形式包含在應用程式原始程式碼中或嵌入到二進位檔案中。
3. 使用SSH金鑰:若使用SSH金鑰對連接到雲端託管虛擬機,則應將私鑰儲存在密碼管理器中,並避免共享。
聯合身份(Identity federation)
在雲端環境中,組織通常會共享身份資訊,以簡化跨環境的身份管理,這種方式稱為聯合身份(Identity federation),然而,將本地身份與雲端環境的系統聯合在一起,往往成為攻擊者的目標,因為他們希望在不同環境之間輕鬆移動。為了確保整體安全,保護與監控聯合身份伺服器至關重要,建議執行以下安全措施:
- 使用端點偵測和回應系統識別攻擊的意圖,並定期審核以掌握潛在的危害
- 使用硬體安全模組(HSM)來保護用於聯合身份的憑證和金鑰
- 實施網路分段原則,以隔離重要伺服器
【資安新聞-中時新聞網】
中市數位局攜手興大等單位 舉辦中部資安長研討會
詳細資訊請參考:https://www.twcert.org.tw/tw/cp-15-7763-d8afb-1.html
