เวอร์ชันย่อ : เลื่อนลงและเพลิดเพลินไปกับไดอะแกรมที่ฉันวาดเพื่อทำความเข้าใจแนวคิดและคำศัพท์ที่สำคัญของ AWS, Azure และ GCP IAM

อัปเดต 1: แก้ไขลิงก์ GCP pdf

คำนำ

เรียน เจ้าหน้าที่รักษาความปลอดภัย เรียน วิศวกรระบบคลาวด์

อย่างที่พวกคุณบางคนอาจทราบดีว่าในช่วงไม่กี่ปีที่ผ่านมา ประเด็นที่ผมสนใจคือการดำเนินงานด้านความปลอดภัย และโดยพื้นฐานแล้วผมทำทุกอย่างเพื่อปกป้องบริษัทที่ผมทำงานให้จากผู้คุกคาม

ซึ่งหมายถึงทุกอย่างเกี่ยวกับ I&R, SIEM, EDR, Threat Hunting, การจัดการโซลูชันการรักษาความปลอดภัยต่างๆ และการใช้งานการควบคุมความปลอดภัยเกี่ยวกับการตรวจจับ การป้องกัน และการตอบสนอง สิ่งนี้อยู่ในการตั้งค่าองค์กรขนาดใหญ่แบบดั้งเดิม ซึ่งหมายถึงการป้องกันสถานการณ์กรณีที่แย่กว่าซึ่งโดยหลักแล้วคือ/เคยเป็น:

“ช่วยป้องกันไม่ให้ผู้ไม่ประสงค์ดีพูดถึงโดเมน windows ของเรา / ขโมยข้อมูลทั้งหมดของเรา”

และเริ่มต้นที่ระยะการเข้าถึงเริ่มต้นต่อ Mitre ATT&CK

อย่างไรก็ตาม,

หลายๆ คนคงทราบดีว่าการเดินทางสู่ระบบคลาวด์สาธารณะนั้นดำเนินไปอย่างเต็มรูปแบบและตัวฉันและทีม (อดีต) ของฉันในช่วง 3 ปีที่ผ่านมาก็โฟกัสและทำงานเกี่ยวกับการรักษาความปลอดภัยบนคลาวด์เช่นกัน

Azure และ GCP เป็นส่วนใหญ่

ฉันเพิ่งเปลี่ยนงานและตอนนี้ฉันโฟกัสไปที่การรักษาความปลอดภัยบนคลาวด์เพียงอย่างเดียวพร้อมโดเมนการรักษาความปลอดภัยทั้งหมด ในรายละเอียดนี้หมายถึงไฮเปอร์สเกลเลอร์หลักสามตัวและการรักษาความปลอดภัยในระบบคลาวด์ (สิ่งที่เรารับผิดชอบ) ไม่ใช่ของผู้ขาย/ผู้ให้บริการ

การแสดงภาพ IAM สำหรับคลาวด์ทั้ง 3

เนื่องจาก IAM เป็นโดเมนความปลอดภัยที่สำคัญที่สุดในการ 'ทำให้ถูกต้อง' ในระบบคลาวด์ ฉันจึงเรียนรู้ใหม่ ทดสอบ (แฮ็ค/ทำลาย/เรดทีมในแล็บที่มีช่องโหว่) และศึกษา (AWS ใหม่สำหรับฉัน) IAM สำหรับคลาวด์ทั้งสาม

ฉันค่อนข้างลำบากกับคำศัพท์ต่างๆ ที่ใช้ใน 3 คลาวด์ และการขาดการแสดงภาพ (โดยเฉพาะในเอกสารประกอบ GCP) และตัดสินใจที่จะ 'ดึง' บางสิ่งออกมา ดังนั้นมันจึง 'คลิก' ในหัวของฉันพร้อมกับบันทึกคำศัพท์บางคำที่ใช้โดย ผู้ให้บริการคลาวด์

พูดตามตรงมันเป็น "วิกฤตข้อมูลประจำตัว" เล็กน้อยเพราะฉันสงสัยว่าทำไมฉันถึงเลือกทำความปลอดภัยบนคลาวด์ด้วยความรู้เต็มเปี่ยมว่าจำเป็นต้องปกป้อง 'คลาวด์ทั้ง 3'... .

สิ่งหนึ่งให้อีกสิ่งหนึ่งและผลลัพธ์อยู่ด้านล่าง...

ขอขอบคุณและฉันหวังว่าคุณจะพบว่ามีประโยชน์และสิ่งนี้จะช่วยคุณในการศึกษาของคุณ

PS: ถ้าคุณชอบสิ่งนี้ คุณสามารถซื้อกาแฟให้ฉันได้ (หรือจ่ายค่าจัดเก็บ)https://www.buymeacoffee.com/julianwieg

หมายเหตุ/คำเตือน

ภาพวาด / แผนที่ความคิดเติบโตตามธรรมชาติและใช่จะแตกต่างกันเล็กน้อยสำหรับแต่ละคลาวด์ ฉันพยายามคงเส้นคงวาแต่ฉันก็ไม่ได้ใช้เวลาอีก 6 เดือนข้างหน้าในการวาดใหม่และปรับปรุงสิ่งนี้ให้สมบูรณ์แบบ (ฉันใช้เวลาส่วนตัวไปกับสิ่งนี้และครอบครัวของฉันก็บ่น :))

โดยทั่วไปแล้ว นี่ไม่ใช่ภาพที่สมบูรณ์ของชิ้นส่วน IAM ทั้งหมดในแต่ละคลาวด์

หัวข้อการเชื่อมโยงหรือบริการเฉพาะที่มีการใช้งาน/ความท้าทาย IAM เฉพาะของตนเองจะไม่แสดงทั้งหมด เช่น ฐานข้อมูล PaaS ส่วนใหญ่มี 'ผู้ดูแลระบบฐานข้อมูล' ของตนเอง หรือโซลูชันพื้นที่เก็บข้อมูลบนคลาวด์ทั้งหมดเสนอ 'การเข้าถึง' นอกบริการ IAM หลัก (mhh ยกเว้น GCP…)

ฉันไม่แน่ใจ 100% ว่าสิ่งต่อไปนี้ถูกต้องตามที่แสดง ตั้งแต่ข้อความและกล่องฟองไปจนถึงโฟลว์/ลิงก์… แต่ควรแม่นยำมาก

ฉันใช้คำศัพท์ของผู้ให้บริการระบบคลาวด์

ส่ง Ping มาที่ twitter / mastodon / LinkedIn หากคุณเห็นข้อผิดพลาดที่สำคัญหรือความคิดเห็นด้านล่างหากคุณระบุข้อผิดพลาดหรือคิดว่า "ความเสี่ยงด้านความปลอดภัยที่สำคัญ" ด้านล่างนี้ไม่ได้ถูกเน้น (ฉันหาได้ง่าย)

ไดอะแกรม/ไฟล์ PDF ควรพิมพ์ในขนาด A3 ไม่ใช่ A4 (หรือ US letter)

สิ่งนี้ถูกวาดใน Mirohttps://miro.com/ขณะที่คำว่า 'ให้ฉันรีบวาดสิ่งนี้ออกมา' เพิ่มขึ้นเรื่อย ๆ ถ้าใครสงสัย

ใช่WS นั้นซับซ้อน (แต่ยังทรงพลัง / ละเอียดอย่างไม่น่าเชื่อ)

อ่านเอกสารประกอบของผู้ให้บริการระบบคลาวด์และลอง/ทดสอบสิ่งต่างๆ ในแต่ละระบบคลาวด์… นี่ไม่ใช่เอกสารการเรียนรู้หรือ 'สอบผ่าน' (แต่อาจช่วยได้?)

อ.ว

เวอร์ชัน: 26 พฤศจิกายน 2565

https://storage.googleapis.com/multicloudiam/Multi%20Cloud%20IAM%20-%20AWS.jpg

PDF กราฟิกแบบเวกเตอร์:https://storage.googleapis.com/multicloudiam/Multi%20Cloud%20IAM%20-%20AWS.pdf

(ปานกลางบีบอัดคุณภาพของภาพจนใช้งานไม่ได้)

อาซัวร์

เวอร์ชัน: 26 พฤศจิกายน 2565

https://storage.googleapis.com/multicloudiam/Multi%20Cloud%20IAM%20-%20Azure.jpg

PDF กราฟิกแบบเวกเตอร์:https://storage.googleapis.com/multicloudiam/Multi%20Cloud%20IAM%20-%20Azure.pdf

(ปานกลางบีบอัดคุณภาพของภาพจนใช้งานไม่ได้)

GCP

เวอร์ชัน: 26 พฤศจิกายน 2565

https://storage.googleapis.com/multicloudiam/Multi%20Cloud%20IAM%20-%20GCP.jpg

PDF กราฟิกแบบเวกเตอร์:https://storage.googleapis.com/multicloudiam/Multi%20Cloud%20IAM%20-%20GCP.pdf

(ปานกลางบีบอัดคุณภาพของภาพจนใช้งานไม่ได้)