“零信任”大势下,谈谈云权限管理(CPM)基础知识

标签:CPM
分享到:

在新冠肺炎疫情推动的数字转型的推动下,云技术继续在世界各地迅速普及。然而,随着应用程序基础设施向云端转移,保护云端环境下企业资产安全的需求日益增加。虽然在运行期间保护工作负载和数据是这一过程的重要组成部分,但是,人们对预防性方法越来越感兴趣。这种方法采用了先验的云安全立场,甚至可以在攻击之前缩小受到攻击的范围。

现在,人们将这种态度背后的理念称为“零信任”。总而言之,是要“尽量将访问要求减少到绝对水平,永远不信任任何人或任何事,并不断验证已授权的内容,确认其不会偏离正常行为。” 云安全采用零信任技术的一个例子是云权限管理(CPM),即将发布的Omdia报告便是以此为主题的,在这份报告中,我们将调查这个行业的竞争格局。

云权限管理是一种采取了比较预防性立场的网络安全技术,它补充了(而不是替代了)检测并响应攻击的被动立场。因此,应该与后者一起考虑采用。本报告解释了云权限管理的用途,工作机制,为即将到来的云权限管理市场雷达铺平了道路。

云端扩大了受到攻击的范围

毫无疑问,无论对于企业还是非商业实体,云端是大多数应用基础设施的发展方向。部分应用程序可能会继续驻留在一家组织的自有场所内,尤其是在这家组织非常注重安全的情况下;但是,由于惯性,其它应用可能需要更长的时间才能进入云端。尽管如此,云端显然是应用程序的发展方向,也许描述这种情况的最准确方式是,未来是云端的天下,而在可预见的未来,会混合使用。

在任何情况下,显而易见的事实是,在采用云端的过程中,各家组织的受攻击范围常常也扩大了。这些年来,他们可能曾经斥巨资保护内部资产,为此部署了防火墙和终端安全等产品。但是,实际上,云安全是不同的,其中很难关联这些传统的基础设施安全产品。要解决这个问题,需要新的方法,尤其是因为出现了全新的云原生攻击途径,需要不同类型的技术来应对。

云工作负载保护平台属于反应式的运行时保护

所谓的云工作负载保护平台(CWPP)技术包含云安全中的反应方法,即“检测和响应”方法。这类产品经常在云端虚拟机(VM)、主机虚拟机或容器环境中的附接盒上布置代理。他们通过那里,观察进出工作负载的流量,试图检测任何可能表明正在攻击的异常行为。然后,他们将向安全团队标记该活动,甚至采取自动补救措施,例如,阻止违规流量和/或隔离受影响的工作负载。

这类技术当然至关重要,因为几乎肯定会对云端资产发起攻击,因此,要在这类环境终运行,就必须要检测并阻止它们。但是,随着威胁范围不断扩大,仍然难以找到并留住熟练的网络安全人员,人们对比较主动的方法越来越感兴趣,这种方法旨在在任何攻击发生之前缩小组织受到攻击的范围。

云安全态势管理恢复出厂设置

这种比较主动的安全类型的一个例子是云安全态势管理(CSPM)。这是一种在资产投入生产后,检查资产,检测合规或安全漂移迹象的技术。

换句话说,它会查看云端工作负载或数据存储运行方式是否改变,是否添加或删除了功能,结果是否违反了特定规范(例如 HIPAA、SOX 或 PCI),或者是否因此带来了新的安全风险。然后,它会提醒合规或安全团队进行补救,或者干脆采取补救措施,有效地恢复这项资产的“出厂设置”,将资产恢复到启动时的预期工作状态。

20世纪10年代中期,随着云计算基础设施和平台即服务(IaaS 和 PaaS)交付模式的普及,云安全态势管理技术应运而生。两者都对使用这项服务的企业提出了更高的要求,而且,由于涉及应用程序开发,也存在安全风险。云安全态势管理是一种积极主动的方法,至少可以解决部分风险。

零信任

这是一种比较积极主动的安全方法,不仅将设置恢复到产品首次投入生产时的状态,而且,现在还被很多人称为“零信任”,形成了一股趋势。

这种安全方式与“城堡和护城河”方法相反,“城堡和护城河”方法认为“城堡”围墙内的所有人(即公司防火墙后面的保护区内的所有人)都是可信的,外面的所有人都是不可信的,在进入时,会检查身份,随后就会加以信任。当所有员工和公司资产都位于在同一家公司场所内时,这种模式运行得相当好,但由于远程工作和云计算等趋势,这种模式日渐失去作用。

永不信任、始终验证、持续监控

零信任是一种心态,或者,如果你愿意的话,也是一种安全方面的哲学立场,可以总结为“永不信任,始终验证”——现在,对于这一点,Omdia增加了第三个维度,即“……持续监控”。

如果在这种情况下授权,则访问权限仅限于完成给定任务所必需的内容。此外,虽然为了启用身份验证和授权,在进入组织的基础设施时会检查身份,但是,在整个工作段过程中,还会监控用户的行为,以检测其身份的任何异常情况,例如,在访问数据库的中途突然发送大量电子邮件,或在授权访问后寻求提升权限。

工作段也可以设置时间限制,除了专门授予访问权限的请求,任何对资产的访问请求都需要经过重新身份验证和授权,但该组织为了方便经常使用的用户,选择将两个或三个应用程序组合在一起的情况除外。但是,永远不会授权无限期全面访问整个企业基础设施。

零信任在各种类型的技术中都有体现。在远程访问领域,零信任访问(ZTA)技术得到了推广,成为了虚拟专用网络(VPN)的更为安全的替代方案。与此同时,在处理系统管理员、C级管理人员和开发人员访问权限的特权访问管理(PAM)平台中,强制执行所谓的“最低特权”概念也属于这种方法。

对云端的零信任

在云环境中,零信任的一个早期例子是微分段技术,微分段技术可以隔离工作负载,并对人类和非人类身份实施严格访问政策。云权限管理是一项最新发展成果,是云计算实现零信任的另一种方式。

保护云环境的问题之一是所谓的蔓生问题。从本质上讲,这个问题的原因在于新的云实例(无论是工作负载还是数据存储)可以轻易加快读写速度。一旦服务器虚拟化开始,就会在内部发现问题:而在实际中,应用程序或数据库的新实例需要配置硬件;在虚拟世界中,只需点击一次鼠标,就可以在由云服务提供商(CSP)分配底层硬件的情况下,加快它们的读写速度。

打个比方,由于易于部署新实例,开发人员可以出于测试和开发目的,抛出一个新实例,系统管理员也可以在执行数据复制时,在生产中创建一个卷影拷贝。

类似地,云端经常会造成权限蔓生的问题。比如,在CI/CD管道中开发新应用时,开发者可以获得访问权,但是,一旦应用程序投入生产,就不会再撤销访问权。甚至,即使可能不需要访问特定资产,各个身份也可以通过加入特定的组获得新的权限。当然,IT运行未必要跟踪环境中每个非人类身份附带的所有权限。

云权限管理

云权限管理解决了权限蔓生问题

云权限管理就是为了解决这种情况而生的。它的目标是调整公司的权限资产;使其能够减少(甚至撤销)认为过度或根本不必要的权限,并在该过程完成后,以持续监控环境,以检测任何再次蔓生迹象。

首先,云权限管理要彻底清点一家组织云资产中现存的权限。换句话说,它会发现组织内每个身份授予的所有访问权限(又称权利)。其中包括所有人类(员工、承包商和合作伙伴),以及非人类、机器身份(系统、工作负载、服务帐户,和越来越多的物联网节点)。

一旦完成该过程,云权限管理平台就会根据各种身份,分析列出的所有权限,以确定哪些权限过多(例如,拥有只读权限便足够时,有人拥有读写权限)或仅仅是超出了要求(例如,如果有人在过去八个月内未访问给定资产)。然后,它就如何限制权限资产提出建议,限制或完全取消个人访问权。部分云权限管理平台还可以更进一步,如果客户愿意启用该功能,就可以自动执行它们推荐的补救措施。

图1:云权限管理

O24AOPG[_)1`NT~P]R)W716

Source: Omdia

云权限管理的名称很多

本着全面披露的精神,本文应该提及云权限管理有很多不同的名称,撰写相关内容的分析公司不同,名称也不同。一家公司称它为云基础设施权利管理(CIEM),出于各种原因,Omdia不喜欢这个名称:

  • 它的全称过于冗长。
  • 首字母缩略词与网络安全的另一个主要术语,即安全信息和事件管理(SIEM)非常接近,令人混淆。
  • 由于SIEM通常发音为“西姆”,也就出现了CIEM如何发音的问题。Omdia听过有人读作“凯姆”,这种读法不符合直觉,因为在盖尔语中,“c”位于“i”或“e”之前时,经常读作“k”,但这在英语中并不常见。

另一家分析机构称之为云权限管理技术云端身份管理(CIG),Omdia认为,这种叫法略优于CIEM,但“身份管理”本身含义迥异,非常模糊,过于夸大。

Omdia在CIEM或CIG出现之前就发明了CPM(云权限管理)一词,由于其它替代名称存在缺陷,就一直沿用了这个术语。

关键标准

如上所述,这份基本报告旨在作为云权限管理全面市场雷达的预览,我们将在其中介绍这一领域的主要参与者,并进行对比。

对比会比较粗略,与Omdia为比较成熟的长期细分市场提供的更详细的比较不同,我们采用了不同的报告格式,题为《Omdia Universe》。市场雷达通常针对处于发展早期阶段的行业,旨在提供一些关于领先者以及其提供技术的领域的初步信息。

因此,为了即将推出的云权限管理市场雷达,我们计划在以下方面,为分析过的供应商评分:

发现

在这方面,我们考虑了平台可以找到的各个身份、人类或非人类、本地和联邦、所有资源,以及所有帐户活动的程度。

可见性和可视化

这项标准关注产品是否提供图形视图、将身份映射到资源、安全团队用户是否可以通过自然查询语言来查询权限,以及是否有跟踪权限使用情况、用户行为等的仪表板。将根据可视化的清晰性、全面性,以及用户在不同观点之间切换的方便性评分。

补救措施

这项标准根据产品的修复能力来判断产品;也就是说,是否有任何补救建议优先级,以及该平台是否允许用户自动化该过程。

监视变更并发出警报

初步调整工作后,云权限管理平台还应持续监控客户的权限,以检测更改设置引发的任何进一步蔓生迹象,对此类风险发出警报,并再次以JSON代码的形式提供补救建议。这项标准对供应商在该平台上开发这项功能水平进行评分。

同行和最佳实践相关标准

企业经常希望了解自己与同行表现的对比情况,这项愿望延伸到安全计划绩效方面。因此,在报告中,我们对供应商提供此类基准测试的能力评分,并向客户展示他们在行业最佳实践方面的进展情况。

超越CPM本身的功能

这项标准将从两个角度,对供应商评分:第一,他们与其它安全工具(如身份管理和行政管理(IGA)、特权访问管理(PAM)和云安全态势管理(CSPM)的现有集成的广度;第二,供应商在相邻的安全领域开发自身技术的计划。

结论

云权限管理的未来

正如上表最后一点所强调的,Omdia认为云权限管理由专门致力于开展进一步开发的供应商推向市场,不会在很长时间内保持独立功能。云权限管理可以作为比较广泛的安全功能组合的一部分,无论是专门针对云端(CWPP、CSPM等),还是跨云端和内部部署基础设施的混合环境。

云权限管理与IGA和PAM等成熟技术之间存在明显的协同效应。前者试图通过正确设置身份,管理组织内部的访问权限,并保证在有人离开时将其删除,而后者则侧重于访问企业内部敏感或保密资产的权限,旨在尽可能少地施加特权。因此,这些类别中的领先供应商(IGA中的SailPoint,以及PAM中的CyberArk)推出了自己的云权限管理功能也就不足为奇了。

同样,云权限管理和云安全态势管理之间也有相似之处,因为它们都属于主动技术,不需要等到漏洞或攻击发生后再采取行动。因此,类似地,在即将发布的市场雷达报告中(例如,C3M从云安全态势管理开始,扩展成为了云权限管理;去年,Zscaler等其它公司怀着增强现有云安全态势管理技术的明确目的,收购了云权限管理供应商Trustdome),Omdia发现了多家这样的供应商。

继续阅读
“零信任”大势下,谈谈云权限管理(CPM)基础知识

在新冠肺炎疫情推动的数字转型的推动下,云技术继续在世界各地迅速普及。然而,随着应用程序基础设施向云端转移,保护云端环境下企业资产安全的需求日益增加。虽然在运行期间保护工作负载和数据是这一过程的重要组成部分,但是,人们对预防性方法越来越感兴趣。这种方法采用了先验的云安全立场,甚至可以在攻击之前缩小受到攻击的范围。