影子访问给云运营、治理和安全带来混乱

Stack Identity最近发布了业界首个影子访问影响报告分享了关于身份和访问控制差距如何导致云数据泄露的重要发现，以及现有 IAM 工具为何无法解决该问题。

什么是影子访问？

影子访问是指正常云操作无意中创建的对云环境的未经授权、不受监控和不可见的访问。在云中，会自动创建新的身份和权利，以将云服务与跨系统的数据和应用程序连接起来。为了简化云中的流程并优化自动化，相关身份和权利通常会被过度许可。

与此同时，由于云操作的自动化方面，几乎没有监督，特别是因为现有的 IAM 工具无法捕捉并跟上云中变化的步伐。这导致安全团队确保治理和合规性的可见性和能力极其有限。

安全性、合规性和治理受到影子访问的不利影响

合规性和治理流程无法跟上云中 IAM 的变化速度。管理云中访问合规性的现有工具和流程非常耗时、资源密集且静态，合规团队依赖于不同的工具，例如屏幕截图和电子表格。事实上，Cloud IAM 数据分布在许多工具中，包括 Cloud IAM、Cloud IDP、基础设施即代码、数据存储和 HR 系统。访问治理分散在票务系统、电子邮件、电子表格和屏幕截图中。现有工具并不认为影子访问可见性是一个大问题，这会导致 IAM 盲点并产生安全、合规性和治理问题。

影子访问导致危险的云数据泄露

Shadow Access 造成的 IAM 盲点导致云安全漏洞，导致严重的云数据泄露。该报告重点介绍了一名攻击者如何使用添加 IAM 用户的恶意代码替换 Lambda 函数，以便未经授权的实体渗透到云环境。在另一个现实世界的示例中，攻击者利用为外部供应商创建的编程访问，并从那里渗透到云环境，导致 S3 用于加密挖掘和恶意软件托管。在另一个实例中，AWS 策略控制台根本没有（也没有）显示对身份或资源的有效权限或继承权限，从而允许攻击者进行隐形访问。

如何解决影子访问问题并重新控制云中的合规性、治理和安全性

上述所有云数据泄露都是由 Shadow Access 创建的 IAM 盲点造成的。要修复该问题，需要三个步骤：

1. 获得碎片化的云IAM数据的可见性是解决影子访问问题的第一步。一旦获得 IAM 数据的全面视图，检测就可以从数据中提取见解，以实施支持 CIEM、DSPM 和 Cloud IGA 的各种技术用例。
2. 然后，检测可以使用综合数据来回答“云环境可以通过哪些途径被破坏以及数据如何被泄露？”的问题。
3. 最后，通过可见性和检测，可以预测针对云数据的数据泄露、数据泄露和勒索软件攻击的可能性。如果没有云 IAM 数据的全面视图，访问审计和确保合规性就会变得痛苦、昂贵且往往不可预测。

身份是一种安全向量，企业可以在其中完全控制并了解影子访问问题，从而能够对云环境中最大的安全风险之一进行最有效的补救。获得影子访问的可见性是遏制影子访问造成的混乱、使安全性、合规性和治理重回正轨以及降低云数据泄露和数据泄露风险的关键。

读者可以在此处下载完整报告，了解有关 Shadow Access、对 DevOps、SecOps 的影响以及如何解决问题的更多信息：https: //stackidentity.com/the-shadow-access-impact-report/ 。

要运行影子访问漏洞评估并查找云环境中的 IAM 盲点，请在此处注册： www.stackidentity.com/Shadow-Access-Risk-Assessment 。