帮助–我已经确定了风险,现在该怎么办?

如何积极主动地控制“特权过多”的环境

从上次中断的地方继续(阅读 第1集 & 第2集 来刷新您的记忆),我们现在将注意力集中在降低混合云中风险的方法上。

我们确定了两个风险领域– 特权过高的管理员数据扩散。下一个合乎逻辑的问题是–我们该怎么办?

让我们按两篇文章依次解决每个问题–这次我们将重点介绍管理员。

管理员的问题有两个方面。一种是被动的,另一种是主动的。

反应性

在这里,您(假设您是一位评估风险的外部顾问)在这里发现了(称为100)具有超级用户权限的管理员。显然,这可能是对您的客户的不礼貌的提醒。冒名顶替的反应可能是削减所有人的特权(也许除了老板以外),但这可能适得其反。

为什么?因为,也许其中有些人有合理的需要才拥有这些“高级”特权–最近晋升,扩大职务等–并且您可能会造成不希望的后果。除了你

您可以通过查看每个管理员在过去30/60/90天内的工作方式,而不是与每个“不法之徒”或他们的老板进行不愉快的采访,而不必采取侵入性的方式–本质上是获取可用的数据并用它来作为他们有权获得的基准。换句话说,如果属于“超级管理员”组且拥有99个特权(例如VM创建,VM删除,创建端口组...)的Joe Schmuck在过去90天内仅使用了9个特权,因此他是基本上享有92%以上的特权。

同样,如果Joe S监督了150个对象(VM,主机,端口组,防火墙规则等),但已对30个对象进行了操作。他的范围享有80%的特权。这是可操作的数据。使用此工具,通过使用适当的工具集,您现在可以一次降低优先权,同时减少优先权,该优先权是根据每个过度特权的管理员各自的定制用法而定制的。

积极主动

以上内容使您可以采取补救措施,这是个不错的选择,但是您如何保持“正确大小”?这需要一个复杂的工具,该工具可以对整个SDDC(VM,业务流程工具,VNF等)进行完全监督,并监视整个SDDC以启用主动策略实施,因此,只允许Joe Schmuck操作30个对象和9个特权操作。对于更高级的客户,可能会有第二组对象(包括20个对象)和10个特权操作,这些操作需要Mary Doe(Joe的老板)批准(当然是全自动的),而SDDC的所有其余部分显然对于Joe而言是越界的。 。

这里很酷的事情是,尽管Joe Schmuck可以继续成为同一“超级用户组”的成员,并且真正不需要通过触摸Active Directory进行任何更改。这很重要,因为AD是一个高度敏感和受控的环境,并且确实是整个数据中心的神经中枢。

因此,通常欢迎采用一种“调整大小”特权而不接触AD的方法(在整段时间内,Joe Schmuck可能会通过调整其AD组降级为“组管理员”)。但这不止于乔·施马克(Joe Schmuck)。对于所有100位管理员,我们拥有使用的特权和访问的对象的视图。并且可以为SDDC中的所有管理员创建和实施这些策略。那是一个真正的锁定但灵活的安全框架。

而且有一个很好的补充 文章 一位出色的IDG贡献者和安全从业者对此进行了介绍– 莱斯利·兰伯特 –同样是在谈论那些面临“太多访问权”和“隐藏特权访问权”的真实客户。

因此,您已掌握了三个黄金法则:

三个金蛋财务成功的人 智库
  1. 确认您的组织中可能存在风险
  2. 使用工具“暴露”组织中可能存在的内容
  3. 采取补救措施和积极措施以降低风险

下次,我们将把注意力集中在暴露的第二个方面:“数据”。

版权© 2017 IDG通讯,Inc.