Netskope公司以往一直采用AWS 云平台，由于该公司为了满足增加的客户需求而开始采用谷歌云平台。Estep发现谷歌云平台很有趣，并且在结构和授予员工权限的方式上与AWS 云平台有所不同。

他解释说：“我觉得谷歌云平台在设计布局时考虑了更多的问题……他们在云计算环境中有一个层次结构，用户可以在这个层次结构中分配权限。”谷歌云平台也没有设置“拒绝”政策。Estep表示，虽然谷歌云平台试图简化权限策略，但当管理员必须将不同的层放在一起以弄清楚到底发生了什么时，事情将可能会变得复杂。

这也是他决定将研究重点放在谷歌云平台上的部分原因，这也是他将在即将举办的欧洲黑帽大会上发布“谷歌云平台中的许可挖掘”演讲报告的主题。

Estep说，“如果攻击者获得更多访问权限，最糟糕的情况是什么?这难以想像。”作为研究的一部分，他开发了一个概念验证工具(PoC)，供组织学习在云计算环境中授予员工的权限。当这个工具在生产环境中使用时，其应用结果比他预期的要糟糕。例如，发现了云平台的拥有者不知道有多少用户实际上是“影子管理员”的情况，这意味着他们可以升级权限，直到在组织级别上对云计算环境拥有完全的控制能力。Estep解释说，谷歌云平台有一个“组织”的概念，它是云计算环境的最高层，拥有组织管理级别的员工将会继承所有级别的管理功能。

他说：“获得这些权限的员工可以进入云平台，更改日志记录、创建资源、删除内容、访问所有数据，为自己添加用户。除了删除整个环境，他们可以做所有事情。”

通过了解谁拥有哪些权限，组织可以在发生数据泄露或其他安全事件发生之前消除风险。

服务驱动的复杂性降低了可见性

Estep指出，谷歌公司一直在关注这个问题，该公司在身份验证与授权方面做得很好。然而，云计算提供商之间存在一个广泛的问题，即提供更多的服务会提高复杂性。许多云计算提供商并没有为客户简化流程，而是创建更多的服务，并以某种方式解决其复杂性问题。

他以附加的控件为便，这些控件声明权限只能在特定情况下或在组织的特定部分中使用。但是，由于这些控件可能属于不同的服务，因此超出了正常权限。这为管理员查询用户的权限以查看他们能够访问的内容带来了问题。