雲端基礎架構權限管理 (CIEM) 是一種管理企業雲端環境使用者與應用程式存取權限的軟體方法。
目錄
隨著企業日益仰賴雲端基礎架構與應用程式,使用者存取權限的管理已成為網路資安的重要關鍵。
絕大多數的雲端伺服器本身都具備了一定的傳統式身分與存取管理 (IAM) 功能,但卻不太能夠應付雲端環境的規模、複雜性與動態特性。雲端基礎架構權限管理 (CIEM) 有助於彌補這個缺口,尤其是傳統存取管理解決方案特別不擅長應付的多重雲端環境。
CIEM 的一項重要優勢就是,它能讓資安團隊強制執行最低授權存取模式,進而減少過度授權所經常帶來的風險。最低授權的作法是限制使用者只能存取在完成特定工作時最低必要的資源和基礎架構,符合了零信任資安原則。CIEM 讓最低授權存取原則能強制落實,進而簡化雲端環境使用者身分的監控與追蹤。
CIEM 如何運作?
CIEM 能在企業雲端環境內自動設定並強制執行身分規則與資安政策。CIEM 軟體會掃描現有的權限,記錄誰 (包括人員和電腦) 正在使用這些權限,並視需要調整存取權限以確保符合公司政策。這些調整可以自動化執行 (大型環境通常如此),也可以由資安團隊在接獲 CIEM 的警報通知時再進行調整。
CIEM 工具相當精密,並且採用機器學習與數據分析來了解和監控存取政策,以及這些政策在雲端環境的套用情況。這意味著 CIEM 工具不僅能確保權限指派正確 (也就是符合公司政策),還可監控使用者的行為,並在出現任何異常或潛在入侵徵兆時通知資安團隊。透過這兩項功能,CIEM 就能為企業提供強大、全方位的防護來保護雲端平台。
大多數的 CIEM 解決方案都包含以下主要功能:
- 持續監控:CIEM 工具隨時都在掃描雲端環境來監控資料的存取與使用。CIEM 系統可即時追蹤公司政策的更新,並確保每位雲端使用者的權限都符合這些政策,不論是自動加以調整,或是標記違規情形來讓資安團隊加以評估及解決。
- 多重雲端管理:CIEM 軟體能以集中化方式同時管理多個雲端環境的資安,資安團隊不需部署多套平行的系統來追蹤不同環境的權限。
- 自動化更新: 企業可利用 CIEM 工具來追蹤及評估雲端環境出現的最新潛在風險,並自動調整及更新政策。資安團隊若偏愛自己管理,也可只用 CIEM 來監控政策變更或不符合規定的權限,並且發出警報,然後再自己手動更新。
CIEM 與其他身分管理解決方案有何不同?
傳統的身分管理工具和方法包括:身分存取管理 (IAM)、特權存取管理 (PAM) 以及雲端資安態勢管理 (CSPM)。
IAM 與 CIEM 相似之處在於兩者都會管理數位身分,並控管系統與資料的存取。IAM 為企業提供了基本的功能,例如:使用者認證、授權,以及角色導向的存取控管。CIEM 則是在 IAM 的基礎上,提供更深入的雲端原生權限可視性、偵測組態設定錯誤與過度授權的情況,以及自動化矯正措施。雖然 IAM 對於身分管理不可或缺,但它通常缺乏複雜的多重雲端環境所需的精細洞見與自動化功能,CIEM 工具正是為了消除這個缺口而設計。
PAM 工具可在認證數位密碼來允許存取特權資料之前,先確認使用者的身分。PAM 解決方案是專為企業內伺服器而設計,而 CIEM 則是專為雲端而打造。CIEM 可提供類似 PAM 的功能,但卻更詳細、更自動化、也更容易使用。
CSPM 可監控雲端組態與設定,確保雲端資源的正確使用並符合法規。CIEM 提供了身分與權限管理來搭配 CSPM 的組態設定管理,與 CSPM 相輔相成。兩者都有助於建立強大的雲端資安態勢。
CIEM 如何簡化雲端資安?
雲端環境是高度動態的,而且牽涉到的資源通常不在企業的直接掌控範圍內,包括第三方雲端廠商負責營運的基礎架構、平台和軟體。雲端環境「牽涉多方」的特性,使得雲端資安須建立責任共同分擔的基礎上,這意味著供應商和企業客戶都有責任確保雲端環境的安全。
由於使用者來自於企業,而使用者的權限主要是企業應該關注的問題,所以 CIEM 是企業用來履行其雲端資安責任的重要工具。
雲端服務供應商同樣也有自己的工具來授予及管理權限,但這些通常是個別雲端平台或服務所獨有,因此企業很難加以追蹤和監控,尤其在大型規模或橫跨多重雲端的環境時。
企業若單靠雲端廠商的工具、自己缺乏有效的雲端基礎架構權限管理,那麼企業將發生以下困境:
- 難以監控及管理多重雲端系統的存取與權限。
- 因為過度授權 (不論是意外獲得或惡意取得) 而讓特定使用者或裝置存取原本應該受到管制的資源或功能。
- 特權資訊未受到充分監控,導致資訊遭到分享或濫用。
- 缺乏可視性,因此很難保證使用者確實遵守公司政策。
- 不同的雲端環境缺乏一致的作法,導致疏失和管理效率不佳。
反觀 CIEM 則可集中掌握所有雲端系統與所有使用者的可視性,讓資安團隊從單一位置追蹤及調整權限,這樣一來就更容易避免發生疏失、不一致,以及違規的情況,或發生資安事件。使用 CIEM 工具,資安團隊就能更有效率且更有效地落實雲端資安政策。
CIEM 的效益為何?
部署雲端基礎架構權限管理解決方案有諸多好處,包括:
- 更好的雲端可視性。尤其是在多重雲端環境,使用者和裝置可能隨時都在存取應用程式、資料、平台,以及其他分散在不同雲端資源 (以及不同雲端) 的工具。CIEM 讓這些活動變得容易追蹤,許多解決方案都提供了單一主控台來檢視整個環境,大幅降低了資安團隊在維護雲端系統安全時的複雜性。
- 更有效掌控雲端資源。採用單一 CIEM 系統來簡化管理,IT 和資安團隊就能集中指派和管制個別使用者的存取權限。這不僅節省時間,還讓資安人員有更多時間從事其他重要工作,同時還能降低發生錯誤、違反雲端資安政策、雲端資產遭到濫用,以及企業雲端環境遭到刻意入侵的風險。
- 主動管理風險。 雲端身分及存取權限的持續、自動化監控與強制管制,可讓資安團隊更深入掌握多重雲端環境的即時資安狀態,這樣就能更主動、更有效率地管理風險。
- 更有自信符合法規。 除了強制執行雲端資安及權限相關的企業政策之外,CIEM 解決方案還讓資安團隊更有能力確保其企業隨時符合適用的法律與規範。許多企業機構都有義務保護隱私及機密資訊,但這在多重雲端的環境下很難持續做到,CIEM 改變了這樣的情況。
選擇 CIEM 解決方案時該考慮些什麼
在建置雲端基礎架構權限管理系統之前,企業有以下幾點相關的需求應該考慮:
- 多重雲端功能。儘管多重雲端環境的身分管理正是 CIEM 的賣點,但不同的解決方案會提供不同的功能,很重要的一點是要選擇一套能夠滿足企業專屬多重雲端需求的解決方案。
- 精細度。有些 CIEM 解決方案比其他方案對存取權限的掌握更加深入,直達記錄檔、資料資產,以及個別雲端資源的層次。企業應選擇一套能提供其所需精細度的解決方案,才能有效管理風險。
- 數據分析。為了持續改善整體的雲端資安態勢,企業最好能運用數據分析來發掘模式並揭露異常狀況,建立典型使用者的正常行為模型,並隨時保持更新。
哪裡可以取得有關雲端基礎架構權限管理的協助?
Trend Vision One™ Cloud Security 能為企業提供完整的 CIEM 功能,不論企業僅仰賴單一雲端平台,或採用了多重雲端或混合環境。Cloud Security 結合了深度可視性以及持續監控、風險評估與曝險管理功能,為整個雲端的防護提供了全方位的解決方案,包括 CIEM。進一步了解我們的 Cloud Security 如何協助您保障雲端資產的安全。