云基础设施授权管理(CIEM)是一类解决方案,它利用管理时间控制来管理混合和多云基础设施即服务(IaaS)和平台即服务(PaaS)架构中的授权和数据治理. Gartner®将CIEM定义为专门的以身份为中心的软件即服务(SaaS)解决方案,专注于管理云访问风险.
CIEM解决方案的出现是因为以下方面的挑战 身份和访问管理(IAM) 随着多云和混合云基础设施使用的增加,是否变得更加复杂. 这些工具处理 动态云环境的身份治理,通常是在 最小特权原则(LPA) 原则, 用户和实体只能在正确的时间和正确的理由访问他们需要的内容.
IAM和授权管理面临的挑战通常集中在动态多云和混合云环境中运行的零散解决方案上. 这包括特权访问管理以及身份管理和治理. 不用说,这种方法面临的挑战很多,包括:
简而言之,多云IAM需要更精细的方法. 这些挑战仍然是行业内更全面的CIEM解决方案增长的最大原因. 下面, 我们将讨论云基础设施管理的现代方法,以及它如何应对这些挑战.
CIEM解决方案应该包含一个深思熟虑的战略方法. 最重要的是, CIEM解决方案应该提供对当前访问组织云基础设施的实体的可见性:员工, 客户, 应用程序, 云服务, 等. 此分析还必须涵盖被访问的特定资源和访问类型, 还有时间. 简单地说,收集的信息必须包括谁、什么和什么时候.
然后,该分析通知下一个实现步骤, 哪个处理跨云基础设施的风险管理. 这一步的主要任务是实现前面提到的最小特权原则. 简而言之,实体只能访问完成其工作所需的应用程序和数据. 不应给予额外的访问权限.
最后,云工程师需要手段和多云环境 全天候工作. 这包括在可疑活动发生时接收可操作的警报, 例如未经授权的访问.
最终,与 顶级CIEM提供商 让公司与专家一起设计与组织兼容的实施策略 云安全 方法. 由于CIEM是云技术中一个相对较新的领域, 实现平台的最佳实践仍在开发中, 这使得专家的意见更有价值.
任何合适的CIEM平台都必须包含一个健壮的特性和功能集合. 例如, 一个易于使用的访问控制和配置模块可帮助云管理员管理访问云基础架构的所有帐户的权限. 该模块还必须促进最少特权原则的实施以及公司的任何其他治理策略.
相关的权限管理模块为管理员提供了控制每个用户的特定权限的方法. 自动审计功能可以帮助公司处理存在的任何休眠帐户或孤立帐户. 如有必要,必须识别并删除这类帐户. 对于任何公司的云基础设施来说,它们仍然是一个重大的安全风险. 审计还可以帮助云管理员跟踪每个帐户的当前权限级别.
另外, 许多领先的CIEM平台与顶级云提供商无缝集成, 包括 亚马逊网络服务(AWS), 微软Azure, 谷歌云. 当然,最好的平台也支持多云和混合云基础设施. 请记住,在选择CIEM平台时,易于集成有助于确保成功实现.
CIEM的组件是IAM的基于云的方面. 主要组成部分包括:
身份统治:在云环境中进行检查,以确保正确的人员或资产可以访问正确的基础设施.
合规这包括有关自动审计功能的文档,这些功能可以演示组织对云访问和隐私考虑的控制.
用户行为分析(UBA):特定数据提供了访问组织云基础设施的实体以及它们如何使用云基础设施的可见性.
安全策略:这些是包含会话策略的指导方针, 业务控制策略, 允许的界限, 以及基于身份的政策.
实施CIEM解决方案为任何拥有复杂云基础设施的公司提供了显著的好处. 如前所述, 最好的平台提供对云上当前活动的可见性, 甚至是混合云和多云环境.
通过使用CIEM, 企业基于云的应用程序和关键数据可以免受黑客和其他恶意网络罪犯的攻击. 同样,当发现任何潜在问题时,自动功能会检测并发出警报 威胁比如休眠账户或非正常活动. 甚至在创建新用户帐户时也会出错, 比如分配过于宽松的访问权限, 是否被系统检测到, 防止潜在的有害错误影响业务操作.
另外, 具有重要法规遵从性需求的公司可以从CIEM平台的自动审计功能中受益. 这种方法提供了详细说明公司对云访问的严格控制的文档跟踪, 特别是那些关键的数据隐私考虑. 银行公司, 保险, 金融部门尤其受益于这一功能.
作为一种新兴的云管理解决方案, 随着时间的推移,CIEM平台有望增加更多的改进. 尽管如此,它们带来的巨大好处大大超过了当前的任何限制.
但是,在分析潜在的CIEM供应商时,选择一个以构建整体解决方案而闻名的供应商. 许多现有的IAM供应商只是简单地移植了他们的非云产品,而没有在当今复杂的多云环境中工作所需的无缝集成.
任何有效的基于云的IAM解决方案都必须考虑到每个客户对其云基础设施的独特方法. 在具有复杂云访问和权限策略的组织中尤其如此.