云基礎(chǔ)設(shè)施授權(quán)管理 (CIEM) 是一種云安全解決方案，用于通過最小特權(quán)(POLP) 原則管理身份和云權(quán)限。CIEM 使用機(jī)器學(xué)習(xí)和分析來檢測多云環(huán)境中的帳戶權(quán)限異常。這種可見性使組織能夠在其云服務(wù)中應(yīng)用一致的身份訪問管理 (IAM) 以減輕網(wǎng)絡(luò)威脅，例如數(shù)據(jù)泄露和數(shù)據(jù)泄露。CIEM 解決方案通過軟件即服務(wù) (SaaS) 模型與其他云安全解決方案一起交付，例如云安全狀態(tài)管理 (CSPM)和云訪問服務(wù)代理 (CASB)。

什么是云身份？

云身份是可以訪問云服務(wù)/云資源的任何實(shí)體。有兩種類型的云身份：

• 人類身份 - 任何訪問云的人，例如用戶、管理員、開發(fā)人員。
• 非人類（服務(wù)）身份 - 代表人類訪問云的任何非人類實(shí)體，例如，連接的設(shè)備、IT 管理員、軟件定義的基礎(chǔ)設(shè)施 (SDI)、人工智能 (AI)。

組織可以向這兩種云身份類型授予云權(quán)利。

什么是云權(quán)利？

云權(quán)利確定身份可以執(zhí)行哪些任務(wù)以及可以跨組織的云基礎(chǔ)架構(gòu)訪問哪些資源。主要的權(quán)利類型是云資源和云服務(wù)。

• 云資源，例如文件、虛擬機(jī) (VM) 和服務(wù)器、無服務(wù)器容器。
• 云服務(wù)，例如數(shù)據(jù)庫、存儲(chǔ)桶和存儲(chǔ)、應(yīng)用程序、網(wǎng)絡(luò)服務(wù)。

CIEM 的工作原理

CIEM 使用最小權(quán)限 (POLP) 原則來管理用戶的私有云和公共云權(quán)限，從而最大限度地降低授予過多權(quán)利的風(fēng)險(xiǎn)。有效的 CIEM 解決方案遵循云 IAM 功能的五個(gè)階段生命周期。

什么是最小特權(quán)原則（POLP）？

最小權(quán)限原則 (POLP) 是一種網(wǎng)絡(luò)安全概念，它將用戶帳戶的訪問權(quán)限限制為僅完成其工作要求所必需的權(quán)限。通過特權(quán)訪問應(yīng)用這種嚴(yán)格的訪問控制有助于組織最大限度地減少他們的攻擊面和暴露于云泄漏、數(shù)據(jù)泄露、內(nèi)部威脅和其他網(wǎng)絡(luò)威脅的風(fēng)險(xiǎn)。POLP 是零信任網(wǎng)絡(luò)架構(gòu) (ZTNA)的關(guān)鍵元素。

CIEM 生命周期

CIEM 生命周期是一個(gè)框架，所有有效的 CIEM 解決方案都應(yīng)遵循該框架，以提供跨云部署的最小權(quán)限的可擴(kuò)展實(shí)施。該框架允許組織輕松管理和監(jiān)控跨多云環(huán)境的所有身份的權(quán)利。

• 帳戶和權(quán)利發(fā)現(xiàn)：根據(jù)基于云的活動(dòng)提供云身份及其權(quán)利的精細(xì)可見性。
• 權(quán)利優(yōu)化：通過 POLP 實(shí)施嚴(yán)格的訪問控制。
• 跨云權(quán)利關(guān)聯(lián)：實(shí)現(xiàn)跨云部署的權(quán)利策略的一致性。
• 權(quán)利可視化：將數(shù)據(jù)點(diǎn)集中到簡潔、可操作的見解中，使安全和 DevOps 團(tuán)隊(duì)能夠有效地監(jiān)控云安全狀況和用戶對(duì)云資源的訪問。
• 補(bǔ)救：識(shí)別與訪問權(quán)限相關(guān)的風(fēng)險(xiǎn)，例如過多的權(quán)限，并在檢測到威脅時(shí)向安全和 DevOps 團(tuán)隊(duì)提供警報(bào)和自動(dòng)響應(yīng)。

云中身份管理的重要性

數(shù)字化轉(zhuǎn)型推動(dòng)了云計(jì)算的采用，這進(jìn)一步受到 COVID-19 和靈活工作安排帶來的遠(yuǎn)程訪問需求的推動(dòng)。Gartner 預(yù)測，到 2025 年，85% 的組織將實(shí)施云優(yōu)先戰(zhàn)略，其中 95% 的新數(shù)字工作負(fù)載將部署在云原生平臺(tái)上——比 2021 年增加 35%。與傳統(tǒng)的本地網(wǎng)絡(luò)不同，云不能依賴物理網(wǎng)絡(luò)安全邊界和防火墻來確保安全。沒有牢固的邊界意味著身份作為一種安全機(jī)制的作用在云環(huán)境中更為重要。

現(xiàn)有的身份和訪問管理 (IAM) 解決方案，例如身份治理管理 (IGA) 和特權(quán)訪問管理 (PAM)，無法提供大規(guī)模保護(hù)云資源所需的精細(xì)可見性。Gartner 還預(yù)計(jì)，到 2025 年，99% 的云安全故障將是客戶的錯(cuò)，這進(jìn)一步增加了組織在云數(shù)據(jù)安全方面大手筆投資的壓力。CIEM 解決方案解決了這些傳統(tǒng)解決方案的能力差距，使組織能夠跨多云部署管理和監(jiān)控云權(quán)限。

應(yīng)對(duì) Cloud IAM 挑戰(zhàn)

出于多種原因，管理云身份具有挑戰(zhàn)性。以下是組織在云部署中使用 IAM 面臨的一些主要挑戰(zhàn)，以及 CIEM 解決方案如何幫助解決這些挑戰(zhàn)。

缺乏能見度

云基礎(chǔ)設(shè)施的按需可擴(kuò)展性是其主要優(yōu)勢之一，但也存在缺陷。隨著安全團(tuán)隊(duì)失去對(duì)網(wǎng)絡(luò)上所有身份的可見性，云環(huán)境不斷增長的性質(zhì)使有效監(jiān)控和管理身份及其訪問權(quán)限的能力變得復(fù)雜。CIEM 解決方案提供對(duì)云環(huán)境中所有身份的權(quán)限和活動(dòng)的精細(xì)可見性。使用 CIEM，管理員可以快速識(shí)別誰在訪問特定的云資源/服務(wù)以及他們?cè)L問它們的確切時(shí)間。

不一致的安全機(jī)制

組織可能使用許多不同的云服務(wù)來執(zhí)行各種業(yè)務(wù)操作。每個(gè)云提供商都有獨(dú)特的安全策略和 IAM 功能，從而在整個(gè)云環(huán)境中造成安全不一致。識(shí)別和修復(fù)每個(gè)平臺(tái)的安全漏洞和漏洞會(huì)消耗安全團(tuán)隊(duì)的大量時(shí)間和資源。CIEM 是用于在云部署中實(shí)施 IAM 的集中式平臺(tái)。CIEM 解決方案可以通過強(qiáng)制最低權(quán)限訪問跨所有云平臺(tái)應(yīng)用一致的安全策略。

權(quán)限差距

將工作負(fù)載轉(zhuǎn)移到云端對(duì)于管理員來說是一個(gè)耗時(shí)的過程。為了節(jié)省時(shí)間，組織通常會(huì)為用戶分配過多的權(quán)限，而不是使用個(gè)人決定權(quán)，從而造成云權(quán)限差距。這些不必要的權(quán)利使組織面臨不必要的網(wǎng)絡(luò)風(fēng)險(xiǎn)。權(quán)限差距的另一個(gè)常見原因是存在非活動(dòng)身份 - 可以訪問他們不使用的云資源和服務(wù)的用戶。CIEM 工具可以識(shí)別權(quán)利的過度配置，并警告安全團(tuán)隊(duì)具有不適當(dāng)權(quán)限的用戶。

云中身份管理的未來

組織正在增加對(duì)基礎(chǔ)設(shè)施即服務(wù) (IaaS) 提供商的投資，例如 Microsoft Azure、亞馬遜網(wǎng)絡(luò)服務(wù) (AWS) 和谷歌云計(jì)算 (GCP)。隨著這些基礎(chǔ)設(shè)施中的云身份數(shù)量成倍增加，內(nèi)部和第三方攻擊面也在擴(kuò)大。CIEM 簡化了整個(gè)云環(huán)境中的 IAM，幫助組織改善其云安全狀況。通過為安全團(tuán)隊(duì)提供對(duì)用戶權(quán)限的集中可見性和控制，組織可以減輕常見的云安全風(fēng)險(xiǎn)，例如數(shù)據(jù)泄露、數(shù)據(jù)泄露和內(nèi)部威脅進(jìn)行的其他網(wǎng)絡(luò)攻擊。

CIEM 解決方案與其他云安全技術(shù)如云訪問服務(wù)代理 (CASB)和云安全狀態(tài)管理 (CSPM)工具配合良好，可提供更有效的網(wǎng)絡(luò)威脅防護(hù)。對(duì)于全面的云安全，組織必須實(shí)時(shí)識(shí)別此類網(wǎng)絡(luò)威脅，以便在嚴(yán)重的安全事件發(fā)生之前對(duì)其進(jìn)行補(bǔ)救。通過將 CIEM 解決方案的功能與攻擊面管理解決方案相結(jié)合，組織可以進(jìn)一步加強(qiáng)其云保護(hù)策略。