云基礎(chǔ)設(shè)施授權(quán)管理CIEM的工作原理
      
                                    
                                
      
                                
      
                                    
      云基礎(chǔ)設(shè)施授權(quán)管理 (CIEM) 是一種云安全解決方案,用于通過(guò)最小特權(quán)(POLP) 原則管理身份和云權(quán)限。CIEM 使用機(jī)器學(xué)習(xí)和分析來(lái)檢測(cè)多云環(huán)境中的帳戶權(quán)限異常。這種可見(jiàn)性使組織能夠在其云服務(wù)中應(yīng)用一致的身份訪問(wèn)管理 (IAM) 以減輕網(wǎng)絡(luò)威脅,例如數(shù)據(jù)泄露和數(shù)據(jù)泄露。CIEM 解決方案通過(guò)軟件即服務(wù) (SaaS) 模型與其他云安全解決方案一起交付,例如云安全狀態(tài)管理 (CSPM)和云訪問(wèn)服務(wù)代理 (CASB)。
      

      云基礎(chǔ)設(shè)施授權(quán)管理CIEM的工作原理-南華中天
      

      什么是云身份?
      

      云身份是可以訪問(wèn)云服務(wù)/云資源的任何實(shí)體。有兩種類(lèi)型的云身份:
      

        

      • 人類(lèi)身份 - 任何訪問(wèn)云的人,例如用戶、管理員、開(kāi)發(fā)人員。
        • 

      • 非人類(lèi)(服務(wù))身份 - 代表人類(lèi)訪問(wèn)云的任何非人類(lèi)實(shí)體,例如,連接的設(shè)備、IT 管理員、軟件定義的基礎(chǔ)設(shè)施 (SDI)、人工智能 (AI)。
        • 

      

      組織可以向這兩種云身份類(lèi)型授予云權(quán)利。
      

      什么是云權(quán)利?
      

      云權(quán)利確定身份可以執(zhí)行哪些任務(wù)以及可以跨組織的云基礎(chǔ)架構(gòu)訪問(wèn)哪些資源。主要的權(quán)利類(lèi)型是云資源和云服務(wù)。
      

        

      • 云資源,例如文件、虛擬機(jī) (VM) 和服務(wù)器、無(wú)服務(wù)器容器。
        • 

      • 云服務(wù),例如數(shù)據(jù)庫(kù)、存儲(chǔ)桶和存儲(chǔ)、應(yīng)用程序、網(wǎng)絡(luò)服務(wù)。
        • 

      

      CIEM 的工作原理
      

      CIEM 使用最小權(quán)限 (POLP) 原則來(lái)管理用戶的私有云和公共云權(quán)限,從而最大限度地降低授予過(guò)多權(quán)利的風(fēng)險(xiǎn)。有效的 CIEM 解決方案遵循云 IAM 功能的五個(gè)階段生命周期。
      

      什么是最小特權(quán)原則(POLP)?
      

      最小權(quán)限原則 (POLP) 是一種網(wǎng)絡(luò)安全概念,它將用戶帳戶的訪問(wèn)權(quán)限限制為僅完成其工作要求所必需的權(quán)限。通過(guò)特權(quán)訪問(wèn)應(yīng)用這種嚴(yán)格的訪問(wèn)控制有助于組織最大限度地減少他們的攻擊面和暴露于云泄漏、數(shù)據(jù)泄露、內(nèi)部威脅和其他網(wǎng)絡(luò)威脅的風(fēng)險(xiǎn)。POLP 是零信任網(wǎng)絡(luò)架構(gòu) (ZTNA)的關(guān)鍵元素。
      

      云基礎(chǔ)設(shè)施授權(quán)管理CIEM的工作原理-南華中天
      

      CIEM 生命周期
      

      CIEM 生命周期是一個(gè)框架,所有有效的 CIEM 解決方案都應(yīng)遵循該框架,以提供跨云部署的最小權(quán)限的可擴(kuò)展實(shí)施。該框架允許組織輕松管理和監(jiān)控跨多云環(huán)境的所有身份的權(quán)利。
      

        

      • 帳戶和權(quán)利發(fā)現(xiàn):根據(jù)基于云的活動(dòng)提供云身份及其權(quán)利的精細(xì)可見(jiàn)性。
        • 

      • 權(quán)利優(yōu)化:通過(guò) POLP 實(shí)施嚴(yán)格的訪問(wèn)控制。
        • 

      • 跨云權(quán)利關(guān)聯(lián):實(shí)現(xiàn)跨云部署的權(quán)利策略的一致性。
        • 

      • 權(quán)利可視化:將數(shù)據(jù)點(diǎn)集中到簡(jiǎn)潔、可操作的見(jiàn)解中,使安全和 DevOps 團(tuán)隊(duì)能夠有效地監(jiān)控云安全狀況和用戶對(duì)云資源的訪問(wèn)。
        • 

      • 補(bǔ)救:識(shí)別與訪問(wèn)權(quán)限相關(guān)的風(fēng)險(xiǎn),例如過(guò)多的權(quán)限,并在檢測(cè)到威脅時(shí)向安全和 DevOps 團(tuán)隊(duì)提供警報(bào)和自動(dòng)響應(yīng)。
        • 

      

      云中身份管理的重要性
      

      數(shù)字化轉(zhuǎn)型推動(dòng)了云計(jì)算的采用,這進(jìn)一步受到 COVID-19 和靈活工作安排帶來(lái)的遠(yuǎn)程訪問(wèn)需求的推動(dòng)。Gartner 預(yù)測(cè),到 2025 年,85% 的組織將實(shí)施云優(yōu)先戰(zhàn)略,其中 95% 的新數(shù)字工作負(fù)載將部署在云原生平臺(tái)上——比 2021 年增加 35%。與傳統(tǒng)的本地網(wǎng)絡(luò)不同,云不能依賴(lài)物理網(wǎng)絡(luò)安全邊界和防火墻來(lái)確保安全。沒(méi)有牢固的邊界意味著身份作為一種安全機(jī)制的作用在云環(huán)境中更為重要。
      

      現(xiàn)有的身份和訪問(wèn)管理 (IAM) 解決方案,例如身份治理管理 (IGA) 和特權(quán)訪問(wèn)管理 (PAM),無(wú)法提供大規(guī)模保護(hù)云資源所需的精細(xì)可見(jiàn)性。Gartner 還預(yù)計(jì),到 2025 年,99% 的云安全故障將是客戶的錯(cuò),這進(jìn)一步增加了組織在云數(shù)據(jù)安全方面大手筆投資的壓力。CIEM 解決方案解決了這些傳統(tǒng)解決方案的能力差距,使組織能夠跨多云部署管理和監(jiān)控云權(quán)限。
      

      云基礎(chǔ)設(shè)施授權(quán)管理CIEM的工作原理-南華中天
      

      應(yīng)對(duì) Cloud IAM 挑戰(zhàn)
      

      出于多種原因,管理云身份具有挑戰(zhàn)性。以下是組織在云部署中使用 IAM 面臨的一些主要挑戰(zhàn),以及 CIEM 解決方案如何幫助解決這些挑戰(zhàn)。
      

      缺乏能見(jiàn)度
      

      云基礎(chǔ)設(shè)施的按需可擴(kuò)展性是其主要優(yōu)勢(shì)之一,但也存在缺陷。隨著安全團(tuán)隊(duì)失去對(duì)網(wǎng)絡(luò)上所有身份的可見(jiàn)性,云環(huán)境不斷增長(zhǎng)的性質(zhì)使有效監(jiān)控和管理身份及其訪問(wèn)權(quán)限的能力變得復(fù)雜。CIEM 解決方案提供對(duì)云環(huán)境中所有身份的權(quán)限和活動(dòng)的精細(xì)可見(jiàn)性。使用 CIEM,管理員可以快速識(shí)別誰(shuí)在訪問(wèn)特定的云資源/服務(wù)以及他們?cè)L問(wèn)它們的確切時(shí)間。
      

      不一致的安全機(jī)制
      

      組織可能使用許多不同的云服務(wù)來(lái)執(zhí)行各種業(yè)務(wù)操作。每個(gè)云提供商都有獨(dú)特的安全策略和 IAM 功能,從而在整個(gè)云環(huán)境中造成安全不一致。識(shí)別和修復(fù)每個(gè)平臺(tái)的安全漏洞和漏洞會(huì)消耗安全團(tuán)隊(duì)的大量時(shí)間和資源。CIEM 是用于在云部署中實(shí)施 IAM 的集中式平臺(tái)。CIEM 解決方案可以通過(guò)強(qiáng)制最低權(quán)限訪問(wèn)跨所有云平臺(tái)應(yīng)用一致的安全策略。
      

      權(quán)限差距
      

      將工作負(fù)載轉(zhuǎn)移到云端對(duì)于管理員來(lái)說(shuō)是一個(gè)耗時(shí)的過(guò)程。為了節(jié)省時(shí)間,組織通常會(huì)為用戶分配過(guò)多的權(quán)限,而不是使用個(gè)人決定權(quán),從而造成云權(quán)限差距。這些不必要的權(quán)利使組織面臨不必要的網(wǎng)絡(luò)風(fēng)險(xiǎn)。權(quán)限差距的另一個(gè)常見(jiàn)原因是存在非活動(dòng)身份 - 可以訪問(wèn)他們不使用的云資源和服務(wù)的用戶。CIEM 工具可以識(shí)別權(quán)利的過(guò)度配置,并警告安全團(tuán)隊(duì)具有不適當(dāng)權(quán)限的用戶。
      

      云基礎(chǔ)設(shè)施授權(quán)管理CIEM的工作原理-南華中天
      

      云中身份管理的未來(lái)
      

      組織正在增加對(duì)基礎(chǔ)設(shè)施即服務(wù) (IaaS) 提供商的投資,例如 Microsoft Azure、亞馬遜網(wǎng)絡(luò)服務(wù) (AWS) 和谷歌云計(jì)算 (GCP)。隨著這些基礎(chǔ)設(shè)施中的云身份數(shù)量成倍增加,內(nèi)部和第三方攻擊面也在擴(kuò)大。CIEM 簡(jiǎn)化了整個(gè)云環(huán)境中的 IAM,幫助組織改善其云安全狀況。通過(guò)為安全團(tuán)隊(duì)提供對(duì)用戶權(quán)限的集中可見(jiàn)性和控制,組織可以減輕常見(jiàn)的云安全風(fēng)險(xiǎn),例如數(shù)據(jù)泄露、數(shù)據(jù)泄露和內(nèi)部威脅進(jìn)行的其他網(wǎng)絡(luò)攻擊。
      

      CIEM 解決方案與其他云安全技術(shù)如云訪問(wèn)服務(wù)代理 (CASB)和云安全狀態(tài)管理 (CSPM)工具配合良好,可提供更有效的網(wǎng)絡(luò)威脅防護(hù)。對(duì)于全面的云安全,組織必須實(shí)時(shí)識(shí)別此類(lèi)網(wǎng)絡(luò)威脅,以便在嚴(yán)重的安全事件發(fā)生之前對(duì)其進(jìn)行補(bǔ)救。通過(guò)將 CIEM 解決方案的功能與攻擊面管理解決方案相結(jié)合,組織可以進(jìn)一步加強(qiáng)其云保護(hù)策略。