云基礎(chǔ)設(shè)施權(quán)限管理(CIEM)解決方案可自動(dòng)化管理云環(huán)境中用戶權(quán)利和權(quán)限的過程。這使它們成為組織身份和訪問管理以及云安全態(tài)勢管理(CSPM) 基礎(chǔ)設(shè)施的組成部分。借助CIEM，組織可以更有效地應(yīng)對(duì)跨多云部署實(shí)施一致的訪問控制和零信任策略的挑戰(zhàn)。

為什么需要CIEM

在過去的幾年中，云的使用呈爆炸式增長。公司正在將他們的數(shù)據(jù)和應(yīng)用程序轉(zhuǎn)移到基于云的基礎(chǔ)架構(gòu)，并且在大多數(shù)情況下，正在跨多個(gè)云平臺(tái)部署這些資源。

隨著云部署的增長和變得越來越復(fù)雜，跨這些平臺(tái)實(shí)施訪問控制所需的授權(quán)數(shù)量也在增長。最小權(quán)限原則指出用戶、應(yīng)用程序和系統(tǒng)應(yīng)該具有完成其工作所需的最小權(quán)限集。最小權(quán)限是零信任安全模型的核心原則，對(duì)于最小化企業(yè)云的攻擊面以及攻擊者橫向移動(dòng)并在組織的基于云的基礎(chǔ)架構(gòu)內(nèi)實(shí)現(xiàn)其目標(biāo)的能力至關(guān)重要。

實(shí)施最小特權(quán)意味著在所有云平臺(tái)上調(diào)整所有身份、資源和服務(wù)的權(quán)利大小。跨多個(gè)云基礎(chǔ)設(shè)施和數(shù)以千計(jì)的權(quán)限、參與者和資源手動(dòng)管理這些權(quán)利是不可行且不可擴(kuò)展的。

特權(quán)訪問管理 (PAM) 和身份治理管理 (IGA) 解決方案等現(xiàn)有工具不具備在資源級(jí)別保護(hù)訪問所需的粒度。云服務(wù)提供商提供的本地工具很有用，但它們不夠成熟、細(xì)化或大規(guī)模有效，并且不提供跨多個(gè)提供商平臺(tái)的支持。

CIEM的好處

CIEM 解決方案使組織能夠更輕松地跨多個(gè)云平臺(tái)在其權(quán)利中實(shí)施最低權(quán)限。CIEM 提供的一些主要好處包括：

可見性：CIEM 為組織提供了對(duì)其云權(quán)利的可見性。這有助于組織更有效地監(jiān)控和管理云環(huán)境中的訪問控制。

真正的跨云關(guān)聯(lián)：CIEM 解決方案聚合了組織整個(gè)云部署中的用戶、設(shè)備和應(yīng)用程序身份。這使得實(shí)施一致的訪問控制策略變得更加容易，并提供跨環(huán)境的統(tǒng)一審計(jì)跟蹤。

智能關(guān)聯(lián)和洞察：CIEM 解決方案可以分析用戶行為并針對(duì)趨勢分配權(quán)限。這有助于為類似用戶定義組，確定職責(zé)分離可能是可取的情況，并在組織內(nèi)實(shí)施最佳實(shí)踐，例如實(shí)施最小權(quán)限。

自動(dòng)化：CIEM 解決方案可以配置為在某些情況下自動(dòng)采取行動(dòng)。例如，自動(dòng)化可用于通過強(qiáng)制執(zhí)行多因素身份驗(yàn)證 (MFA) 的要求、限制具有特定角色的用戶的某些權(quán)限等來強(qiáng)制執(zhí)行公司安全策略。

選擇合適的 CIEM 解決方案

正確的 CIEM 解決方案使云授權(quán)管理變得簡單直觀。一些重要的功能包括：

發(fā)現(xiàn)：CIEM 解決方案應(yīng)該提供對(duì)每個(gè)身份、人類或非人類、資源以及所有帳戶活動(dòng)的發(fā)現(xiàn)。此外，他們應(yīng)該分析所有策略類型并支持聯(lián)合身份和本地身份。

跨云關(guān)聯(lián)：CIEM 旨在簡化現(xiàn)代多云環(huán)境中的授權(quán)管理。這需要跨云平臺(tái)的本地和用戶友好支持。

可見性：可見性對(duì)于理解復(fù)雜的權(quán)利關(guān)系至關(guān)重要。CIEM 應(yīng)提供將身份映射到資源的圖形視圖、通過自然查詢語言查詢權(quán)利的能力，以及允許組織跟蹤權(quán)利使用情況、用戶行為等的指標(biāo)儀表板。

權(quán)利優(yōu)化：CIEM 應(yīng)分析權(quán)利以確定某些權(quán)利是否未使用、過度使用等。這有助于制定更有效和優(yōu)化的權(quán)利政策。

權(quán)利保護(hù)：CIEM 解決方案應(yīng)以權(quán)利檢測和修復(fù)的形式提供權(quán)利保護(hù)。應(yīng)通過票證或自動(dòng)響應(yīng)自動(dòng)識(shí)別和修復(fù)異常和潛在危險(xiǎn)的權(quán)利。

威脅檢測和響應(yīng)：用戶和實(shí)體行為分析 (UEBA) 應(yīng)該集成到 CIEM 解決方案中。異常活動(dòng)應(yīng)生成SIEM警報(bào)并自動(dòng)分析以檢測潛在趨勢。

安全態(tài)勢分析：云權(quán)利應(yīng)基于行業(yè)最佳實(shí)踐、標(biāo)準(zhǔn)和相關(guān)法規(guī)。CIEM 應(yīng)根據(jù)這些要求自動(dòng)評(píng)估政策并生成差距評(píng)估和建議。

權(quán)利記錄和報(bào)告：訪問日志對(duì)于法規(guī)遵從性和事件響應(yīng)至關(guān)重要。CIEM 應(yīng)該為監(jiān)管報(bào)告生成全面、一致的日志和模板報(bào)告。