© 2023 云安全联盟大中华区版权所有1© 2023 云安全联盟大中华区版权所有3© 2023 云安全联盟大中华区版权所有4致谢《识别影子访问:新兴的IAM安全挑战(Defining Shadow Access: The Emerging IAMSecurity Challenge)》由CSA IAM工作组家编写,CSA大中华区IAM工作组专家翻译并审校。中文版翻译专家组(排名不分先后):组长:于继万翻译组:崔崟于振伟鹿淑煜审校组:戴立伟谢琴研究协调员:蒋妤希感谢以下单位的支持与贡献:北京天融信网络安全技术有限公司华为技术有限公司江苏易安联网络技术有限公司上海物盾信息科技有限公司深圳竹云科技股份有限公司三未信安科技股份有限公司在此感谢以上专家及单位。如译文有不妥当之处,敬请读者联系CSA GCR秘书处给予雅正! 联系邮箱research@c-csa.cn;国际云安全联盟CSA公众号。© 2023 云安全联盟大中华区版权所有5英文版本编写专家主要作者:Sasi MurthyVenkat RaghavanSteven Schoenfeld贡献者:Philip GriffithsShruti KulkarniMichael RozaDhaval ShahHeinrich Smit审校者:Ivan DjordjevicRajat DubeyAhmed HarrisSenthilkumar ChandrasekaranShraddha PatilAlberto RadiceOsama SalahCSA分析师:Ryan Gifford编辑:Larry HughesCSA全球员工:Claire Lehnert© 2023 云安全联盟大中华区版权所有6序言在当今数字化时代,云计算技术的普及为组织带来了巨大的便利,然而,随着云计算的快速发展,一种新的安全挑战崭露头角:影子访问(Shadow Access)。影子访问指的是对资源、应用程序和数据的非有意或非预期的访问行为,其风险日益凸显,威胁着企业的数据安全和隐私保护。本文深入剖析了影子访问现象,并指出了它对云计算、身份和访问管理、数据保护等多个方面的威胁和潜在影响。作为一个新兴的安全挑战,影子访问的影响远不止于数据的泄露,还可能破坏数据完整性与影响组织合规性。为了更好地理解和应对影子访问,我们需要建立新一代的工具和流程,同时强调持续监控和自动化管理在解决这一问题中的重要性,以确保云环境访问与组织数据的安全。这不仅仅是一个技术问题,更是一个需要全面战略思考的挑战。本文所指出的问题,正是当今企业面临的现实挑战。希望通过此白皮书的探讨和分析,引起广大企业对影子访问问题的关注,共同探讨解决之道,确保数字化时代信息安全的可持续发展。李雨航 Yale LiCSA 大中华区主席兼研究院院长© 2023 云安全联盟大中华区版权所有7影子访问影子访问指的是对资源、应用程序和数据的非有意或非预期的访问行为,这是随云计算、DevOps、云原生架构和数据共享的快速增长,而产生的一种新的安全问题。影子访问越来越成为一个云问题,这是由于连接云服务的访问和授权使用增加,加上自动化的基础设施和软件开发,导致错误或者意外的账户和资源被配置。从小发展到大的组织经常会痛苦地发现,曾经的安全起点会默默地演进到一个不安全的阶段。除了上述问题外,通常情况下,使用者的账号和权限会被克隆(典型场景是在员工入职或者新账号创建时),会为用户提供并非真正需要的访问权限,使影子访问问题进一步加剧。影子访问的后果可能是灾难性的,并且可能威胁到正在向云演进的任何组织。这篇短文旨在总结影子访问的背景、原因、影响和前进的路径,以重获动态、安全的云环境所带来的益处。© 2023 云安全联盟大中华区版权所有8背景企业IAM与云IAM的比较云IAM 存在于云生态系统内由Terraform 或 CFT使用的标识、角色和策略,用于启动标识和访问权限通过云IDP联合包括 LDAP, AD, 企业IAM终端用户,管理员访问企业内,云中和SaaS化应用由云内的开发和运营用户使用包括AWS IAM, Google Workspace, Azure AD, Snowflake, MongoDB,Infrastructure-As-Code以及云生态系统使用的DevOps, Cloud Infra, Admins,SaaS应用;非终端用户身份图 1: 企业IAM与云IAM的比较传统的企业身份和访问管理(IAM)系统已经发展了数十年,通常通过 LDAP 或活动目录等典型服务或协议进行构建和部署。企业 IAM 为身份提供授权和凭证,通常将企业人力资源(HR)系统作为权威...
