雪花服务帐户安全，第1部分2020年5月26日|5分钟读取作者：雅各布·萨拉西|作者：乔纳森·桑德雪花保安这个博客系列文章将把你想象成一个防守队员。在网络安全中，做一个好的防御者意味着像攻击者一样思考。本博客的第1部分将着重于理解为什么服务帐户是坏人心目中的优秀目标，以及坏人可能使用的威胁和攻击。在第2部分中，我们将介绍如何使用雪花云数据平台提供的工具来减轻威胁并防御这些攻击。在第3部分中，我们将向您展示如何使用我们发布的示例Hashicorp保险库插件来管理凭证轮换，从而进一步减轻威胁。第一部分服务帐户是应用程序、自动化进程、操作系统等软件使用的非人类身份服务帐户通常有特权访问人类操作员无权访问的数据。服务帐户需要这种特权访问才能作为系统的一部分，实现自动化，协调任务，以及执行无人参与的管理操作。人的身份验证可以从健壮的多因素身份验证方案中获益，但是服务帐户呢？对于服务帐户用例来说，诸如推送通知或基于时间的一次性密码（TOTP）令牌等带外机制很难或不可能在这个系列文章的最后，你将能够发布描述影响服务帐户的常见威胁，并了解它们与您的业务之间的关系描述针对这些威胁的最佳实践缓解策略确定确保服务帐户安全的最佳方法服务帐户威胁下表描述了服务帐户的高级威胁模型：窃取或猜测凭证的攻击者很可能会滥用凭证。这篇文章的目的是使获取和滥用证书的方法几乎不可能或非常昂贵。要想成为一名成功的防守者，你首先需要了解这些攻击是如何进行的在下一节中，我们将探讨服务帐户攻击在何处以及如何发生。凭证被盗和泄露使用服务帐户的服务器和应用程序攻击者使用未修补的安全漏洞来访问服务器和应用程序。它们可能直接攻击服务器或应用程序，或者在危害另一个易受攻击的系统后横向移动。如果攻击者获得对应用程序或服务器的访问权限，则可能会从配置文件日志文件环境变量应用程序内存在系统上使用弱保护机密的其他配置不良的服务日志文件我们在上面提到了服务器上的日志文件。但是，大多数日志并不完全驻留在服务器上。它们被聚合、存储，并且经常在许多地方重新分配。这使攻击者有许多机会访问日志，而无需直接访问应用程序和服务器。根据定义，日志信息丰富，特别是在启用调试时。这意味着离线攻击成本低，实时防御成本高。网络流量拦截外部日志源是攻击者无需访问服务器或应用程序即可窃取凭据的一种方式。另一种方法是拦截来自服务器或应用程序的网络流量。攻击者可以利用中间人攻击重定向应用程序流量。这可能会在凭据使用期间暴露凭据。特权人类人类往往是攻击者最脆弱、最脆弱的目标。网络钓鱼和其他攻击可以针对人类目标来植入恶意软件。社会工程攻击可能导致管理员无意中向攻击者泄露凭据。凭证猜测到目前为止，我们已经讨论了许多窃取证书的机会，但它们都需要牺牲一个软件或一个人。猜测攻击不需要任何一个，而且攻击者几乎不需要尝试。以以下示例为起点，考虑攻击者如何在您的环境中执行猜测攻击：暴力逼供字典攻击凭证填充暴力强迫和字典攻击暴力强制（Brute forcing）是最昂贵的技术，它只需要尝试所有可能的凭证输入组合。它可以立即成功，也可以尝试100年后失败字典攻击通过合并已知单词来优化一些问题空间，从而减少要尝试的组合数量。实际猜测并不常见，但当使用与企业、商标或社交事件有关的已知事实的弱密码时，可能会成功。凭证填充这种技术使用以前被破坏的凭证来对付大量的任意服务。当管理员错误地跨多个服务使用相同的凭据时，攻击者可以利用它们横向移动并发现新的攻击面。结论在本文中，我们介绍了攻击服务帐户的高级目标和方法。在第2部分中，我们将讨论这些方法的纵深防御缓解。相关文件：用户如何在雪花中进行身份验证使用网络策略就像你读的？通过喜欢和分享来表达你的感激之情！Facebook推特LinkedIn