云原生账号安全管理

0x00、业务需求

在公有云建设早期，账号安全管理主要是依赖云自身的管理。等到公有云建设中期的时候，公有云可以通过云产品基线对账号系统进行检查，例如：云主账号开启双因素认证，密码策略轮换，监控AK泄露等安全相关的基线来完成监督。主机层面会使用主机安全基线做账号以及密码相关的检查。但是，我们会发现云端管理好用户特权账号，只是账号安全管理生命中的一小部分，很多特权账号散落在用户登录云管端的笔记本电脑中，很多开发期间的应用程序连接账号密码都硬编码到了配置文件等地方…，特权账号使用静态密码，对账号缺乏有效的管理、监控、企业很容易遭受攻击，同时很多合规检查也要求对企业特权账号要监督。

· 无法可视化管理，很难知道有多少账号资产以及谁在使用。

· 很难保障特权密码的安全性。

·无法看到谁在用那个账号做什么，没法控制特权账号的权限。

0x01、云原始账号管理解决方案

首先要自动扫描、定位所有账号，对账号管理有一个全面的了解。使用密码保管库统一管理账号，同时通过代理登陆的方式对账号操作进行记录，最终分析出账号异常使用情况。

我们先假定一个用户场景，大约有200台云主机、100台docker，管理这些特权帐户的安全是一项复杂的工作,跟踪所有的变更,确保每台服务器ssh key 部署是经过审批的，并记录下来以便进行长期分析和审计。

账号扫描引擎

1、需要在云主机本地部署主机安全Agent全盘收集用户账号信息，以及散落在角落中的ssh key等信息，（依赖关系，创建日期）。

2、扫描应用系统，查看是否存在应用程序脚本、配置文件和软件代码中的硬编码凭证。

3、通过客户端登陆程序扫描登陆云主机的终端是否存在业务系统的key或者账号密码。

企业级密码保管库

1、通过web控制台，管理员可以通过REST API 设置建立初始化账号策略（例如：设置策略以建立凭证强度以及轮换频率、共享账号策略）。

2、通过账号代理程序，细粒度的控制特权访问，存储访问记录。

3、提供账号使用合规报告。

· 账号最小权限分析报告。

· 账号使用范围可视化报告。

· 账号审计报告。

账号威胁分析

1、分析引擎对用户、实体和网络流量运行多种复杂的专用算法（包括确定性算法和基于行为的算法），针对攻击者会假冒成授权内部用户，实时发现攻击并自动做出响应，以便在整个攻击生命周期的早期发现攻击迹象。通过尽早发现攻击，安全团队就有了更多宝贵时间来在造成业务中断之前终止攻击。

2、与SIEM解决方案的双向集成**使安全团队可以利用现有的SIEM部署来汇总数据，进行有针对性的分析，并发出预警来为涉及特权账户的事件分配优先级。

0x02、系统架构

简述

1、本解决方案支持公有云云主机、云物理机、IDC托管物理服务器，应对用户多云部署的情况。

2、针对企业级秘钥管理库，我们为每个租户开启一台虚拟的云加密托管服务，确保公有云运营方对用户的凭证滥用的情况。

2.1、秘钥安全性保障

· 虚拟云加密机初始化是由公有云给租户邮寄USB key

· 用户在自己的VPC环境中架设VPNServer，通过VPN连接租户VPC环境中。

· 在公有云平台上开通虚拟云加密机服务，云加密物理机通过公有云网络中peer方式映射到租户VPC环境中，使用USBkey进行初始化。

2.2、秘钥生命周期管理

· 登陆秘钥管理控制台，用户申请ssh key,以及要登陆的云主机或者物理机。经过审批后，主机安全Agent会分发SSH key到云主机或者物理机上。

· 使用过程中，安全Agent会扫描、监控、审计整个过程。

· 当秘钥需要销毁的时候，到秘钥管理控制台申请，审批后，主机安全Agent会删除对应主机上的SSH key。

@3、安全威胁分析

· 通过主机安全Agent来进行SSH key扫描，可以分析出当前租户环境中的SSHkey散落情况并且给出合规报告。

· 通过主机安全Agent记录登陆情况，账号审计数据上传到态势感知安全运营平台，通过UEBA模块做大数据分析。给出响应的安全告警

0x03、总结

本文介绍了云原生账号安全管理项目，希望在实际安全运营过程中有所帮助。