云基礎設施授權管理 (CIEM) 是一種云安全解決方案，用于通過最小特權(POLP) 原則管理身份和云權限。CIEM 使用機器學習和分析來檢測多云環境中的帳戶權限異常。這種可見性使組織能夠在其云服務中應用一致的身份訪問管理 (IAM) 以減輕網絡威脅，例如數據泄露和數據泄露。CIEM 解決方案通過軟件即服務 (SaaS) 模型與其他云安全解決方案一起交付，例如云安全狀態管理 (CSPM)和云訪問服務代理 (CASB)。

什么是云身份？

云身份是可以訪問云服務/云資源的任何實體。有兩種類型的云身份：

• 人類身份 - 任何訪問云的人，例如用戶、管理員、開發人員。
• 非人類（服務）身份 - 代表人類訪問云的任何非人類實體，例如，連接的設備、IT 管理員、軟件定義的基礎設施 (SDI)、人工智能 (AI)。

組織可以向這兩種云身份類型授予云權利。

什么是云權利？

云權利確定身份可以執行哪些任務以及可以跨組織的云基礎架構訪問哪些資源。主要的權利類型是云資源和云服務。

• 云資源，例如文件、虛擬機 (VM) 和服務器、無服務器容器。
• 云服務，例如數據庫、存儲桶和存儲、應用程序、網絡服務。

CIEM 的工作原理

CIEM 使用最小權限 (POLP) 原則來管理用戶的私有云和公共云權限，從而最大限度地降低授予過多權利的風險。有效的 CIEM 解決方案遵循云 IAM 功能的五個階段生命周期。

什么是最小特權原則（POLP）？

最小權限原則 (POLP) 是一種網絡安全概念，它將用戶帳戶的訪問權限限制為僅完成其工作要求所必需的權限。通過特權訪問應用這種嚴格的訪問控制有助于組織最大限度地減少他們的攻擊面和暴露于云泄漏、數據泄露、內部威脅和其他網絡威脅的風險。POLP 是零信任網絡架構 (ZTNA)的關鍵元素。

CIEM 生命周期

CIEM 生命周期是一個框架，所有有效的 CIEM 解決方案都應遵循該框架，以提供跨云部署的最小權限的可擴展實施。該框架允許組織輕松管理和監控跨多云環境的所有身份的權利。

• 帳戶和權利發現：根據基于云的活動提供云身份及其權利的精細可見性。
• 權利優化：通過 POLP 實施嚴格的訪問控制。
• 跨云權利關聯：實現跨云部署的權利策略的一致性。
• 權利可視化：將數據點集中到簡潔、可操作的見解中，使安全和 DevOps 團隊能夠有效地監控云安全狀況和用戶對云資源的訪問。
• 補救：識別與訪問權限相關的風險，例如過多的權限，并在檢測到威脅時向安全和 DevOps 團隊提供警報和自動響應。

云中身份管理的重要性

數字化轉型推動了云計算的采用，這進一步受到 COVID-19 和靈活工作安排帶來的遠程訪問需求的推動。Gartner 預測，到 2025 年，85% 的組織將實施云優先戰略，其中 95% 的新數字工作負載將部署在云原生平臺上——比 2021 年增加 35%。與傳統的本地網絡不同，云不能依賴物理網絡安全邊界和防火墻來確保安全。沒有牢固的邊界意味著身份作為一種安全機制的作用在云環境中更為重要。

現有的身份和訪問管理 (IAM) 解決方案，例如身份治理管理 (IGA) 和特權訪問管理 (PAM)，無法提供大規模保護云資源所需的精細可見性。Gartner 還預計，到 2025 年，99% 的云安全故障將是客戶的錯，這進一步增加了組織在云數據安全方面大手筆投資的壓力。CIEM 解決方案解決了這些傳統解決方案的能力差距，使組織能夠跨多云部署管理和監控云權限。

應對 Cloud IAM 挑戰

出于多種原因，管理云身份具有挑戰性。以下是組織在云部署中使用 IAM 面臨的一些主要挑戰，以及 CIEM 解決方案如何幫助解決這些挑戰。

缺乏能見度

云基礎設施的按需可擴展性是其主要優勢之一，但也存在缺陷。隨著安全團隊失去對網絡上所有身份的可見性，云環境不斷增長的性質使有效監控和管理身份及其訪問權限的能力變得復雜。CIEM 解決方案提供對云環境中所有身份的權限和活動的精細可見性。使用 CIEM，管理員可以快速識別誰在訪問特定的云資源/服務以及他們訪問它們的確切時間。

不一致的安全機制

組織可能使用許多不同的云服務來執行各種業務操作。每個云提供商都有獨特的安全策略和 IAM 功能，從而在整個云環境中造成安全不一致。識別和修復每個平臺的安全漏洞和漏洞會消耗安全團隊的大量時間和資源。CIEM 是用于在云部署中實施 IAM 的集中式平臺。CIEM 解決方案可以通過強制最低權限訪問跨所有云平臺應用一致的安全策略。

權限差距

將工作負載轉移到云端對于管理員來說是一個耗時的過程。為了節省時間，組織通常會為用戶分配過多的權限，而不是使用個人決定權，從而造成云權限差距。這些不必要的權利使組織面臨不必要的網絡風險。權限差距的另一個常見原因是存在非活動身份 - 可以訪問他們不使用的云資源和服務的用戶。CIEM 工具可以識別權利的過度配置，并警告安全團隊具有不適當權限的用戶。

云中身份管理的未來

組織正在增加對基礎設施即服務 (IaaS) 提供商的投資，例如 Microsoft Azure、亞馬遜網絡服務 (AWS) 和谷歌云計算 (GCP)。隨著這些基礎設施中的云身份數量成倍增加，內部和第三方攻擊面也在擴大。CIEM 簡化了整個云環境中的 IAM，幫助組織改善其云安全狀況。通過為安全團隊提供對用戶權限的集中可見性和控制，組織可以減輕常見的云安全風險，例如數據泄露、數據泄露和內部威脅進行的其他網絡攻擊。

CIEM 解決方案與其他云安全技術如云訪問服務代理 (CASB)和云安全狀態管理 (CSPM)工具配合良好，可提供更有效的網絡威脅防護。對于全面的云安全，組織必須實時識別此類網絡威脅，以便在嚴重的安全事件發生之前對其進行補救。通過將 CIEM 解決方案的功能與攻擊面管理解決方案相結合，組織可以進一步加強其云保護策略。