什么是云基础设施权利管理(CIEM)？

云基础设施授权管理 (CIEM) 是一种云安全解决方案，用于通过最小特权(POLP) 原则管理身份和云权限。CIEM 使用机器学习和分析来检测多云环境中的帐户权限异常。这种可见性使组织能够在其云服务中应用一致的身份访问管理 (IAM) 以减轻网络威胁，例如数据泄露和数据泄露。CIEM 解决方案通过软件即服务 (SaaS) 模型与其他云安全解决方案一起交付，例如云安全状态管理 (CSPM)和云访问服务代理 (CASB)。

什么是云身份？

云身份是可以访问云服务/云资源的任何实体。有两种类型的云身份：

• 人类身份 - 任何访问云的人，例如用户、管理员、开发人员。
• 非人类（服务）身份 - 代表人类访问云的任何非人类实体，例如，连接的设备、IT 管理员、软件定义的基础设施 (SDI)、人工智能 (AI)。

组织可以向这两种云身份类型授予云权利。

什么是云权利？

云权利确定身份可以执行哪些任务以及可以跨组织的云基础架构访问哪些资源。主要的权利类型是云资源和云服务。

• 云资源，例如文件、虚拟机 (VM) 和服务器、无服务器容器。
• 云服务，例如数据库、存储桶和存储、应用程序、网络服务。

CIEM 的工作原理

CIEM 使用最小权限 (POLP) 原则来管理用户的私有云和公共云权限，从而最大限度地降低授予过多权利的风险。有效的 CIEM 解决方案遵循云 IAM 功能的五个阶段生命周期。

什么是最小特权原则（POLP）？

最小权限原则 (POLP) 是一种网络安全概念，它将用户帐户的访问权限限制为仅完成其工作要求所必需的权限。通过特权访问应用这种严格的访问控制有助于组织最大限度地减少他们的攻击面和暴露于云泄漏、数据泄露、内部威胁和其他网络威胁的风险。POLP 是零信任网络架构 (ZTNA)的关键元素。

CIEM 生命周期

CIEM 生命周期是一个框架，所有有效的 CIEM 解决方案都应遵循该框架，以提供跨云部署的最小权限的可扩展实施。该框架允许组织轻松管理和监控跨多云环境的所有身份的权利。

• 帐户和权利发现：根据基于云的活动提供云身份及其权利的精细可见性。
• 权利优化：通过 POLP 实施严格的访问控制。
• 跨云权利关联：实现跨云部署的权利策略的一致性。
• 权利可视化：将数据点集中到简洁、可操作的见解中，使安全和 DevOps 团队能够有效地监控云安全状况和用户对云资源的访问。
• 补救：识别与访问权限相关的风险，例如过多的权限，并在检测到威胁时向安全和 DevOps 团队提供警报和自动响应。

云中身份管理的重要性

数字化转型推动了云计算的采用，这进一步受到 COVID-19 和灵活工作安排带来的远程访问需求的推动。Gartner 预测，到 2025 年，85% 的组织将实施云优先战略，其中 95% 的新数字工作负载将部署在云原生平台上——比 2021 年增加 35%。与传统的本地网络不同，云不能依赖物理网络安全边界和防火墙来确保安全。没有牢固的边界意味着身份作为一种安全机制的作用在云环境中更为重要。

现有的身份和访问管理 (IAM) 解决方案，例如身份治理管理 (IGA) 和特权访问管理 (PAM)，无法提供大规模保护云资源所需的精细可见性。Gartner 还预计，到 2025 年，99% 的云安全故障将是客户的错，这进一步增加了组织在云数据安全方面大手笔投资的压力。CIEM 解决方案解决了这些传统解决方案的能力差距，使组织能够跨多云部署管理和监控云权限。

应对 Cloud IAM 挑战

出于多种原因，管理云身份具有挑战性。以下是组织在云部署中使用 IAM 面临的一些主要挑战，以及 CIEM 解决方案如何帮助解决这些挑战。

缺乏能见度

云基础设施的按需可扩展性是其主要优势之一，但也存在缺陷。随着安全团队失去对网络上所有身份的可见性，云环境不断增长的性质使有效监控和管理身份及其访问权限的能力变得复杂。CIEM 解决方案提供对云环境中所有身份的权限和活动的精细可见性。使用 CIEM，管理员可以快速识别谁在访问特定的云资源/服务以及他们访问它们的确切时间。

不一致的安全机制

组织可能使用许多不同的云服务来执行各种业务操作。每个云提供商都有独特的安全策略和 IAM 功能，从而在整个云环境中造成安全不一致。识别和修复每个平台的安全漏洞和漏洞会消耗安全团队的大量时间和资源。CIEM 是用于在云部署中实施 IAM 的集中式平台。CIEM 解决方案可以通过强制最低权限访问跨所有云平台应用一致的安全策略。

权限差距

将工作负载转移到云端对于管理员来说是一个耗时的过程。为了节省时间，组织通常会为用户分配过多的权限，而不是使用个人决定权，从而造成云权限差距。这些不必要的权利使组织面临不必要的网络风险。权限差距的另一个常见原因是存在非活动身份 - 可以访问他们不使用的云资源和服务的用户。CIEM 工具可以识别权利的过度配置，并警告安全团队具有不适当权限的用户。

云中身份管理的未来

组织正在增加对基础设施即服务 (IaaS) 提供商的投资，例如 Microsoft Azure、亚马逊网络服务 (AWS) 和谷歌云计算 (GCP)。随着这些基础设施中的云身份数量成倍增加，内部和第三方攻击面也在扩大。CIEM 简化了整个云环境中的 IAM，帮助组织改善其云安全状况。通过为安全团队提供对用户权限的集中可见性和控制，组织可以减轻常见的云安全风险，例如数据泄露、数据泄露和内部威胁进行的其他网络攻击。

CIEM 解决方案与其他云安全技术如云访问服务代理 (CASB)和云安全状态管理 (CSPM)工具配合良好，可提供更有效的网络威胁防护。对于全面的云安全，组织必须实时识别此类网络威胁，以便在严重的安全事件发生之前对其进行补救。通过将 CIEM 解决方案的功能与攻击面管理解决方案相结合，组织可以进一步加强其云保护策略。