甚麼是雲端基礎架構權限管理(CIEM)?

Tball

雲端基礎架構權限管理 (CIEM)以軟件導向方式來管理企業雲端環境用戶和應用程式權利、許可權及存取權限。

隨著企業越來越依賴雲端架構與應用程式,用戶權限、權利與許可權的管理已成為網絡資訊保安的關鍵。

絕大多數雲端伺服器都具備有限的傳統身份識別與存取管理(IAM)功能,並不適合雲端環境的規模、複雜性與動態性。雲端基礎架構權限管理有助於消除漏洞,尤其是對傳統存取管理解決方案帶來特殊挑戰的多重雲端環境。

雲端基礎架構權限管理的一項重要優勢就是,它能讓資訊保安團隊強制實施最低權限的存取模式,進而降低權限過多所帶來的常見風險。最低權限的做法,會限制用戶存取資源和基礎架構,盡可能達到完成特定工作所需的最低權限,以符合零信任保安原則。雲端基礎架構權限管理簡化雲端環境用戶身份的監控與追蹤,讓存取維持在最低限度。

雲端基礎架構權限管理如何運作?

雲端基礎架構權限管理可自動在企業雲端環境中設定並強制貫徹身份規則與資訊保安政策。雲端基礎架構權限管理軟件會掃描現有權限,記錄用戶及人員和電腦的權限,並且視需要調整存取權限以確保符合公司政策。這些調整通常可透過自動化(通常在大型環境),或由資訊保安團隊在接獲雲端基礎架構權限管理警示通知時執行。

雲端基礎架構權限管理工具相當精密,並且採用機器學習與數據分析來了解並監控存取政策,以及這些政策如何應用在雲端環境。這意味著雲端基礎架構權限管理工具能確保正確指派權限(也就是符合公司政策)。此外,還可監控用戶行為,並通知保安團隊任何異常或潛在的資料外洩事件。雲端基礎架構權限管理提供了強大、全方位的防護來保護雲端平台。 

大多數雲端基礎架構權限管理方案的主要功能包括: 

  • 持續監控:雲端基礎架構權限管理工具隨時都動態掃描雲端環境來監控資料存取與使用。雲端基礎架構權限管理系統可實時追蹤更新的公司政策,並確保每個雲端用戶的權限和權利都符合這些政策,包括自動調整違規行為或通報資訊保安團隊以進行評估和對應。 
  • 多重雲端管理:雲端基礎架構權限管理軟件可同時集中管理多個雲端環境的防護,讓資訊保安團隊無須部署多個並行系統來追蹤不同環境的權限。 
  • 自動化更新: 企業可利用雲端基礎架構權限管理工具來追蹤及評估雲端環境的潛在新風險,並自動調整及更新政策。如果願意,保安團隊可依賴雲端基礎架構權限管理來監控政策變更或不符合規定的權限,並發出警示通知,然後自行手動更新。 
雲端基礎架構權限管理如何運作。

雲端基礎架構權限管理與其他身份管理方案有何不同?

傳統的身分管理工具和方法包括:身份識別與存取管理(IAM)、特權存取管理(PAM)及雲端安全態勢管理(CSPM)。 

  • 身份識別與存取管理與雲端基礎架構權限管理類似,負責管理數碼身份並管控系統與資料存取。身份識別與存取管理提供了基本功能,例如用戶認證、授權,以及角色導向的存取管控。雲端基礎架構權限管理以身份識別與存取管理為基礎,提供更深入的雲原生權限可視性、偵測配置錯誤與權限過多,以及自動化修正動作。雖然身份識別與存取管理是管理身份的必要條件,但通常缺乏複雜、多重雲端環境所需的精細啟示與自動化,因此雲端基礎架構權限管理工具是專為解決這類問題而設計。

  • 特權存取管理工具在提供數字密碼之前,會先確認用戶身份,以便存取特殊權限資料。特權存取管理方案是專為在企業內部伺服器而設計,而身份識別與存取管理則是專為雲端而打造。雲端基礎架構權限管理可提供與特權存取管理類似的功能,但更詳盡、自動化、更輕鬆。 

  • 雲端安全態勢管理可監控雲端組態設定與設定,確保雲端資源的正確使用方式與法規遵循性。雲端基礎架構權限管理提供了身份與權限管理來配合雲端安全態勢管理的配置管理,與雲端安全態勢管理相輔相成。兩者都有助於建立強大的雲端資訊保安狀況。

雲端基礎架構權限管理如何簡化雲端防護?

雲端環境是高度動態的,而且涉及的資源通常不在企業的直接管控範圍內,包括第三方雲廠商所提供的基礎架構、平台及軟件。雲端環境的「多方」本質,讓雲端防護成為共同分擔的責任,這意味著供應商和企業客戶都有責任確保雲端環境的安全。

由於用戶來自企業,因此其權限和許可權是企業主要關注的問題,因此雲端基礎架構權限管理是企業履行其共同雲端資訊保安責任的重要工具。

此外,雲服務商也有自己的工具來授予及管理權限。這類軟件對於每個雲端平台或服務來說都是獨一無二的,讓企業進行追蹤與監控的任務更為複雜,尤其是在規模龐大或橫跨多重雲端環境的情況下。

企業只靠雲廠商自己的工具來管理雲端基礎架構就會面對很多困難:

  • 難以監控及管理多重雲端系統的存取與權限。
  • 權限過多,例如意外或可能惡意取得,令特定用戶或裝置能夠存取應該受限制的資源或功能。
  • 權限資訊監控不足,導致潛在的分享或濫用。
  • 缺乏可視性,因此很難確保用戶符合公司政策。
  • 多重雲端環境的做法不一致,導致疏失與管理效率不佳。

另一方面,雲端基礎架構權限管理則可集中監察所有雲端系統的所有用戶,讓資訊保安團隊在單一位置追蹤並調整權限,更容易避免失察、不一致、合規失敗或資料外洩。保安團隊可利用雲端基礎架構權限管理工具來更有效、更有效率地建置雲端資訊保安政策。

雲端基礎架構權限管理有何效益?

部署雲端基礎架構權限管理方案有許多好處,包括:

  1. 更優異的雲端可視性。 尤其是在多重雲環境,用戶和裝置可能隨時都在存取應用程式、儲存資料、平台以及其他分散在不同雲端的資源(以及不同雲端)的工具。雲端基礎架構權限管理讓這項活動變得容易追蹤。許多方案都提供單一主控台來檢視整個環境,大幅降低了資訊保安團隊在維護雲端系統安全上的複雜性。
  2. 更有效掌控雲端資源。將管理簡化到單一雲端基礎架構權限管理系統,資訊科技和保安團隊就能集中分配並限制用戶存取權限和許可權 。這不僅節省了時間,讓資訊保安人員有更多時間從事其他關鍵工作,而且還能降低出錯、雲端資訊保安政策違規、濫用雲端資產及刻意入侵企業雲端環境的風險。
  3. 主動管理。 持續、自動化的雲端身份監控與強制貫徹存取權限與許可權,讓資訊保安團隊更深入掌握多重雲端環境的即時防護狀態,讓他們更主動、更有效率地管理風險。
  4. 更有信心達致合規要求。 除了強制貫徹雲端資訊保安與權限相關的企業政策之外,雲端基礎架構權限管理方案也為資訊保安團隊帶來了協助,確保企業隨時符合適用的法律與規範。許多企業機構都訂有保護私有與機密資訊的要求,而這些資訊在多重雲端情境中很難維持。雲端基礎架構權限管理改變了這一點。
說明雲端基礎架構權限管理的效益。

選擇雲端基礎架構權限管理方案時該考慮什麼

在建置雲端基礎架構權限管理系統之前,企業應考量以下相關的需求:

  • 多重雲功能。儘管多重雲環境的身份管理是雲端基礎架構權限管理的一項賣點,但不同方案卻具備不同的功能。重要的是要選擇一套能夠滿足企業特定多重雲需求的方案。
  • 細微之處。 某些雲端基礎架構權限管理方案比其他方案更深入掌握存取權限與許可權,從記錄檔、數據資產以及個別雲端資源。企業應選擇一套能提供有效管理風險所需的方案。
  • 分析。為了持續提升整體雲端資訊保安狀況,企業最好能善用數據分析來發掘規律並揭露異常狀況,讓企業了解一般的雲端用戶行為並隨時保持更新。

哪裡可以取得雲端基礎架構權限管理的協助?

Trend Vision One™ Cloud Security 能為企業提供完整的雲端基礎架構權限管理功能,無論他們是依賴單一雲端平台,或是採用多重雲或混合雲環境。Cloud Security 結合了深度的可視性與持續監控、風險評估與曝險管理功能,為整體雲端防護提供完整方案,包括雲端基礎架構權限管理。進一步了解我們的 Cloud Security 如何協助您保障雲端資產的安全。

相關資料