云身份安全 5 分钟指南

5分钟指南 助您了解云基础架构权限管理的 CIEM：您需要了解的全部内容 目录 3简介 4什么是云基础架构权限管理(CIEM)？ 5CIEM工具有什么作用？ 5权限可视性 5适当调整权限 5高级分析 5合规性 6选择CIEM的原因以及为何现在是最佳时机 6大规模权限 6权限合规性 7不一致的访问控制框架 7转瞬即逝的云服务 8CIEM和其他权限管理工具 8CIEM和身份控制及管理(IGA) 8CIEM和特权访问管理(PAM) 9CIEM和云安全态势管理(CSPM) 10面向CIEM的PrismaCloud方案 简介 乍一看，管理云权限似乎很简单，仅涉及定义哪些人员可以在云环境中采取操作的访问和权限控制。那么，您每天的工作就是定义角色并给他们分配权限吗？ 不完全是。虽然大多数企业只使用一个云及一个身份和访问管理(IAM)框架来管理其中的权限，在这种环境下，云权限管理可能很简单，但是这种日子已经一去不复返了。如今，团队在部署的各种云平台、服务和工作负载中面临着令人眼花缭乱的不同权限管理工具和概念的冲突。以安全的方式定义角色和权限绝非易事，更不用说在庞大的环境中进行跟踪了。 事实上，Gartner最近报告称，在95%的云帐户中，只有不到3%的权限得到了实际使用。1这意味着绝大多数权限会产生其他特权，这与企业应该努力实现的目标正好相反，因为他们的目标是实施零信任云安全策略。 幸运的是，这些挑战的解决办法已经以全新权限管理策略的形式出现：云基础架构权限管理(CIEM)。CIEM通过自动评估任何类型的云环境中的权限并以任何访问控制配置框架为基础，实现了更精细、可扩展和全面的权限管理方法。 本指南说明了如何利用CIEM来改善以云为中心的现代环境的安全状况。指南中首先定义了CIEM，并探讨为什么CIEM在现代环境中如此困难。然后介绍了可有效实施CIEM的工具和技术。其中还说明了CIEM如何与云安全管理的其他核心方面相关联，包括云安全态势管理(CSPM)、特权访问管理(PAM)以及身份控制和管理(IGA)。 借助这些洞察数据，您将明确定义CIEM策略所需的内容，该策略将有效解决现代云中权限管理的复杂性，成为全面云安全策略的支柱。 以安全的方式定义角色和权限绝非易事，更不用说在庞大的环境中进行跟踪了。 1.AbhyudayData、MichaelKelley和HenriqueTeixeira，云基础架构权限管理创新洞察，Gartner，2021年6月15日，https://www.gartner.com/en/documents/4002548/innovation-insight-for-cloud-infrastructure-entitlement-。 什么是云基础架构权限管理？ 云基础架构权限管理是在云环境中管理身份和权限的过程。CIEM的目的是了解云环境中存在哪些访问权限，然后识别并降低授予更高级别的访问权限所导致的风险。 重要的是，尽管术语“云基础架构权限管理”可以解释为CIEM仅处理与云基础架构（如存储和计算资源）相关的访问权限，但这带点误导性。CIEM适用于所有类型的访问权限，包括超出传统定义的基础架构范围的应用服务和API等资源。 CIEM还适用于云环境中的人类用户以及在云中运行的“机器”用户。换句话说，CIEM可用于管理开发人员、IT工程师以及将工作负载部署到云的其他用户和小组的权限。同时，CIEM可以解决在云环境中托管的应用和服务的访问权限。 在这些不同的情况下，CIEM可处理三种特定类别的权限： •资源级权限：这些权限定义了职能工作。这些权限会授予一些特权，例如读取和/或写入数据或设置虚拟机实例。 •服务级权限：在服务级别，权限定义的是操作权限，如启动和停止虚拟机实例或克隆数据库。 •管理级权限：管理权限用于定义应用到整个云环境的管理权限。示例包括配置环境级安全设置或新建云帐户的权限。 CIEM工具有什么作用？ 借助CIEM，团队可通过几个关键功能领域来管理所有级别的权限。 权限可视性 管理权限和降低权限风险的第一步是了解您的环境中存在哪些权限。CIEM工具可通过自动扫描所有类型的访问控制策略、规则和配置来实现这一点，以确定： •存在的权限。 •基于这些权限，每个人员或机器用户可以采取哪些操作。 •哪些人员和机器用户可以基于这些权限访问每个云资源。 因此，CIEM让团队能够了解云环境中所有层级和部分的权限状态，即使该环境中包含多个云或多种类型的访问控制框架和配置也是如此。 适当调整权限 确定权限后，CIEM工具会对其进行评估，以确定授予的访问权限对于实现工作负载的预期目标而言是否有必要。如果权限提供了过多访问权限，CIEM工具可以提醒管理员，助其手动解决问题。这些工具还可以配置为自动调整权限，从而允许团队在可能包含数十万甚至数百万权限的大规模环境中高效工作。 由于CIEM工具持续监控权限配置和工作负载要求，因此这些工具不仅可以在最初创建时识别有风险的权限，还可以检测权限过时或过于宽松的情况。 高级分析 CIEM工具执行的权限评估不仅基于通用规则和条件，还基于由机器学习以及用户和实体行为分析(UEBA)支持的高级分析。 使用这些技术，CIEM工具可以根据当前的工作负载需求确定权限是否提供正确的访问级别并以动态方式进行更新。例如，如果用户身份因为用户辞职而不复存在，CIEM工具可以检测与该身份相关联的权限并将其删除。 合规性 虽然合规性不是CIEM的唯一重点，但是CIEM工具可以自动评估权限是否符合规性需求，以此确保权限符合合规性要求。这些工具还可以检测“漂移”实例，在这种情况下，曾经合规的权限由于配置更改而不再合规。 选择CIEM的原因以及为何现在是最佳时机 在云中管理访问权限并不是什么新鲜事。现代云计算平台诞生已超过15年，自那时起，云服务提供商(CSP)已经提供了在其环境中配置权限的工具。除了安全供应商，CSP也开发了相关工具来帮助评估和管理云中基于权限的风险。 然而，随着云环境近年来日益复杂，传统的权限管理方法也无法保证完全的可视性。出现这种情况有几个原因。 大规模权限 随着云环境规模不断扩大，许多企业拥有过多无法有效管理的权限。即使在单个云架构中，一个企业也可能拥有数百个帐户、数千个工作负载以及数千个与之相关联的人员和机器身份，更不用说包含多个云或通过混合模式结合公有云资源和私有基础架构的架构。此类配置很容易产生数百万个权限。 跟踪如此大规模的权限是传统云访问管理工具无法解决的任务。 权限复杂性 同时使用多个云，甚至只是在单个云中部署多种类型云服务的企业通常难以理解所授予权限的全部含义。 例如，考虑通过“get”授予访问权限的身份，这是一种所谓的动词，通常可以在访问控制策略中分配。然而，“get”的确切含义可能因云服务类型而异。例如，拥有云存储桶“get”权限的人类或机器用户能够执行与在Kubernetes®中拥有“get”权限的用户不同的操作。 在这种情况下，只有通过以细粒度、细致入微的方式解析权限，工具才能识别访问配置是否会带来安全风险。 一个企业可能拥有数百个帐户、数千个工作负载以及数千个与之相关联的人类和机器身份。跟踪如此大规模的权限是传统云访问管理工具无法解决的任务。 不一致的访问控制框架 同样，云服务之间的访问控制设置和配置往往存在很大差异，这给现代权限管理带来了重大挑战，尤其是对于使用多云或混合云架构的企业而言。 尽管所有CSP都提供IAM框架，但是它们使用的配置语言、工具和概念并不十分一致。例如，MicrosoftAzure®使用面向MicrosoftActiveDirectory的IAM框架（尽管Azure也支持定义访问权限的其他方式），而其他云使用原生IAM框架。同样，“服务”、“权限”、“操作”和“角色”等概念的含义也可能因云而异。 鉴于这种复杂性，仅为一种云或服务类型设计的访问控制管理工具已远远不够。现代企业必须能够使用单一解决方案识别和评估云中的所有身份。 转瞬即逝的云服务 权限管理的最后一个关键挑战是——许多云工作负载都是短暂的。虚拟机实例和容器等资源可能只存在几分钟，然后就会被关闭或销毁。 从权限管理的角度来看，这意味着实时跟踪权限至关重要。对权限配置进行定期审核不足以识别和修复高度动态的云环境中的所有潜在风险。 现代企业必须能够使用单一解决方案识别和评估云中的所有身份。 CIEM和其他权限管理工具 多年来，已出现多个解决方案来帮助管理云中的访问控制和权限。这些解决方案解决了上述部分挑战，但本身通常不足以在现代云环境中进行完整的权限管理。 为了探寻其中原因，我们将CIEM与其他三种热门的云安全工具进行了对比：身份控制和管理(IGA)、特权访问管理(PAM)和云安全态势管理(CSPM)。 CIEM和IGA IGA工具主要旨在帮助企业定义和应用云环境中的权限。这些工具有助于将控制和合规性规则转换为可以在云中部署的访问策略。 虽然IGA是建立安全权限的实用起点，但主要缺点是IGA工具通常不会在实施权限后对其进行审核。因此，这些工具无法识别由于身份性质的改变而导致的权限配置问题或权限要求发生变化的情况。只有CIEM提供这种类型的连续精细化权限政策评估。 CIEM和PAM 在云中，PAM工具有助于为需要云资源特殊访问权限的人类和机器用户配置访问权限。例如，这些工具有助于向管理帐户授予适当权限。然而，与IGA工具一样，PAM工具不对权限策略进行持续评估。这些工具也不适用于所有类型的权限；相反，它们专注于特权访问控制。 相比之下，CIEM可管理所有身份的所有类型的权限，包括特权或非特权。如上所述，CIEM还提供对权限配置进行持续审核。 CIEM可管理所有身份的所有类型的权限，包括特权或非特权。 CIEM和CSPM 最接近CIEM的工具类别是CSPM。与CIEM一样，CSPM会自动评估云访问控制配置以识别风险。CSPM工具通常可以持续执行这些评估。 然而，CIEM和CSPM之间的主要区别在于，CSPM主要侧重于识别可能产生安全后果的一般云配置错误，例如无法收集和分析重要日志，或者存在为公有云存储桶授予公开访问权限的IAM规则。 相比之下，CIEM在高度精细的级别中识别和评估访问配置。CIEM的目标是确保云中的每个人类或机器身份 都有相应权利。要实现这一点，CIEM工具必须理解给定的云资源应该拥有哪些权限，然后将其与实际分配的权限进行对比。CSPM工具不会这样操作；相反，它们会通过识别一般来说已知不安全的配置类型来识别风险，而不是评估每个资源的权限要求。 因此，尽管CSPM对于检测适用于大多数工作负载的主要配置问题而言非常有用，但CIEM捕获的访问管理错误过于细微或模糊，无法被CSPM工具检测到。 面向CIEM的PrismaCloud方案 上述权限管理挑战是Prisma®Cloud率先在单一云安全平台中集成CSPM和CIEM的原因。组合后的功能使用户能够扩展其云漏洞管理策略以添加任何云，还可进行更精细的风险检测，即使他们有数百万个权限需要管理。 借助PrismaCloud，您的团队将获得： •可视性：通过量化整体权限风险，了解任何云和IAM框架中的权限状态，运行查询以确定特定用户或资源的权限，并在多个云帐户中监控权限。 •监管：根据PrismaCloud通过机器学习和UEBA自动生成的监管策略识别多余和未使用的权限。通过内置报告说明合规性。 •应对和补救措施：基于PrismaCloud推荐的最低权限配置修复权限风险。按需启用全自动修复措施，以便PrismaCloud自动降低权限风险。 要了解更多信息，请申请PrismaCloud演示。 免费咨询热线：4009911194 网址：www.paloaltonetworks.cn 邮箱：contact_salesAPAC@paloal