Визуализация концепций Multi Cloud IAM
Краткая версия : прокрутите вниз и просмотрите диаграммы, которые я нарисовал, чтобы понять ключевые концепции и терминологию AWS, Azure и GCP IAM.
Обновление 1: исправлена ссылка GCP pdf
Предисловие
Уважаемые специалисты по безопасности, Уважаемые облачные инженеры,
как некоторые из вас, возможно, знают, в последние несколько лет я сосредоточился на операциях по обеспечению безопасности и в основном делал все, чтобы защитить компанию, в которой я работал, от злоумышленников.
Это означает все, что связано с I&R, SIEM, EDR, Threat Hunting, управлением различными решениями безопасности и реализациями средств контроля безопасности для обнаружения, предотвращения и реагирования. Это было в традиционной крупномасштабной корпоративной настройке, что означает предотвращение худшего сценария, который в основном был / был:
«давайте не позволим плохим парням говорить о нашем домене Windows / украсть все наши данные»
и началось на начальной фазе доступа для Mitre ATT&CK.
Однако,
как многие из вас знают, путь к общедоступному облаку идет полным ходом , и я и моя (бывшая) команда в течение последних 3 лет также уделяли внимание и работали над безопасностью облака.
В основном Azure и GCP.
Недавно я сменил работу, и теперь мое внимание сосредоточено исключительно на облачной безопасности со всеми ее доменами безопасности. В деталях это означает три основных гиперскейлера и безопасность в облаке (за что мы несем ответственность), а не поставщика/поставщика.
Визуализация IAM для всех трех облаков
Поскольку IAM — это наиболее важные домены безопасности, которые нужно «правильно настроить» в облаке, я переучивался, тестировал (взламывал/взламывал/объединял уязвимые лаборатории) и изучал (AWS для меня в новинку) IAM для всех трех облаков.
Я немного боролся с различной терминологией, используемой в трех облаках, и отсутствием визуализации (особенно в документации GCP) и решил «нарисовать» кое-что, чтобы оно «щелкнуло» в моей голове вместе с некоторыми примечаниями терминологии, используемой облачные провайдеры.
Честно говоря, это был своего рода «кризис идентичности», потому что я действительно задавался вопросом, почему я решил заняться облачной безопасностью, полностью осознавая, что мне нужно защитить «все 3 облака»… .
Одно с другим, и результаты ниже…
Спасибо, и я искренне надеюсь, что вы найдете его полезным, и это поможет вам в учебе.
PS: Если вы цените это, вы можете купить мне кофе (или оплатить расходы на хранение)https://www.buymeacoffee.com/julianwieg
Примечания / предостережения
Рисунок / интеллект-карта росли естественным образом, и да, они немного отличаются для каждого облака. Я пытался оставаться последовательным, но я также не трачу следующие 6 месяцев на перерисовку и совершенствование этого (я трачу на это много личного времени, и моя семья жалуется:))
Как правило, это никоим образом не полная картина всех частей IAM в каждом облаке.
Темы федерации или конкретные службы, имеющие свои собственные уникальные реализации/задачи IAM, показаны не все, например, большинство баз данных PaaS имеют своего собственного «администратора базы данных» или все решения облачного хранения предлагают «доступ» за пределами основной службы IAM (м-м-м, кроме GCP…)
Я не уверен на 100%, что приведенное ниже является точным в отношении того, что показано, от текста и всплывающих окон до потоков/ссылок… но должно быть очень точным.
Я использовал терминологию облачного провайдера
Отправьте мне сообщение в Twitter / mastodon / linkedin, если вы видите какие-либо ключевые ошибки, или комментарий ниже, если вы идентифицируете ошибки или считаете, что «ключевая угроза безопасности» ниже не выделена (меня легко найти)
Диаграммы/pdf-файлы лучше всего печатать в формате A3, а не в формате A4 (или букве США).
Это нарисовано в Мироhttps://miro.com/поскольку «позвольте мне просто быстро нарисовать это» выросло со временем, если кому-то интересно
Да , WS сложный (но также невероятно мощный / гранулированный)
Прочтите документацию облачных провайдеров и попробуйте/протестируйте что-то в каждом облаке… это не материал для изучения или сдачи экзамена (но может помочь?)
АМС
Версия: 26 ноября 2022 г.
https://storage.googleapis.com/multicloudiam/Multi%20Cloud%20IAM%20-%20AWS.jpg
PDF векторная графика:https://storage.googleapis.com/multicloudiam/Multi%20Cloud%20IAM%20-%20AWS.pdf
(Среднее сжимает качество изображения до непригодного для использования)
Лазурный
Версия: 26 ноября 2022 г.
https://storage.googleapis.com/multicloudiam/Multi%20Cloud%20IAM%20-%20Azure.jpg
PDF векторная графика:https://storage.googleapis.com/multicloudiam/Multi%20Cloud%20IAM%20-%20Azure.pdf
(Среднее сжимает качество изображения до непригодного для использования)
опорная точка
Версия: 26 ноября 2022 г.
https://storage.googleapis.com/multicloudiam/Multi%20Cloud%20IAM%20-%20GCP.jpg
PDF векторная графика:https://storage.googleapis.com/multicloudiam/Multi%20Cloud%20IAM%20-%20GCP.pdf
(Среднее сжимает качество изображения до непригодного для использования)
![В любом случае, что такое связанный список? [Часть 1]](https://post.nghiatu.com/assets/images/m/max/724/1*Xokk6XOjWyIGCBujkJsCzQ.jpeg)
