CIEM 的定義
CIEM 用於在單一雲端或多重雲端環境中管理身分和存取權、許可權或特權。CIEM(Cloud Infrastructure Entitlement Management) 是雲端基礎架構權限管理的縮寫,也稱為雲端權限管理或雲端許可權管理。CIEM 是一種專門的軟體即服務(Software as a Service , SaaS) 類別,其提供的可視性可讓您清楚掌握單一和多重雲端環境中設置的存取權限。
CIEM 支援零信任架構安全的主要原則,亦即最小權限原則,協助組織(企業)保護系統和資料免遭資料外洩及網路攻擊,並防止因過度授予雲端許可權而暴露其他安全漏洞。IT 和安全團隊使用 CIEM 將最小權限存取應用於雲端基礎架構和服務,藉此將身分具備的雲端權限數量減少至必要的特定權限,以盡可能縮小雲端的攻擊面。
什麼是權限?
CIEM 中所指的權限包含指派給使用者、工作負載和資料的有效許可權。它們決定雲端身份(例如人類使用者、連線裝置、代表人類存取雲端的人工智慧(AI))在單一和多重雲端環境中具備哪些許可權,以及它們如何與存取憑證互動並進行特權任務的驗證過程。權限是用來劃定界線,規範雲端身分可以執行哪些操作和存取哪些資源。
IAM 與 CIEM 有什麼差別?
身分與存取管理 (Identity and Access Management , IAM) 和雲端基礎架構權限管理 (CIEM) 是兩種不同類型的網路安全,各自處理不同的身分及存取控制面向。以下是強調 IAM 與 CIEM 兩者不同之處的比較。
| IAM | CIEM |
| IAM 提供基礎存取控制,以管理位於本地端或雲端中各系統的使用者身份及其許可權。 IAM 的特徵:涵蓋廣泛功能,包括驗證、授權、角色型存取控制(Role-Based Access Control , RBAC)和佈建及取消佈建使用者帳戶,著重於相對穩定的資源與使用者角色組維持一致的存取控制。 | CIEM 提供細膩且靈活管理雲端環境所需的功能。 CIEM 的特徵:著重於管理和保護雲端平台中快速變化的權限,提供對雲端許可權的精細可視性和掌控力、偵測過度權限、強制執行最小權限原則及自動調整許可權。 |
為什麼雲端基礎架構權限管理很重要
雲端供應商(Cloud Service Provider , CSP) 使用雲端基礎架構權限管理,迅速有效的授權身分存取動態雲端環境中的資源,解決雲端安全人員面臨的營運、安全和法遵挑戰。
CIEM 讓組織得以在單一和多重雲端環境中實施並強制執行最小權限存取。
為了應用和簡化最小權限存取的管理工作,雲端基礎架構權限管理以自動化流程和系統取代了現有的手動權限管理流程,進而優化所有多重雲端基礎架構中所有身份、資源和服務的權限,以及數以千計的許可權、行動者和資源。
CIEM 也提升了特權存取管理 (Privileged Access Management , PAM) 及身分治理管理 (Identity Governance and Administration , IGA) 等功能的水平,並透過精細的控制實現資源層級的存取安全並擴展至不斷成長的雲端環境。
將 CIEM 和 PAM 系統整合至 IGA 系統中十分重要,這是為了對所有存取點維持一致的可視性以利管控。
使用 CIEM 對這些身份實行集中管理和最小權限的概念,可降低所有雲端環境中的風險。透過雲端基礎架構權限管理進行集中控制並提供廣泛的安全功能,將盲點、雲端安全破口、法遵異常和可能引發安全漏洞的弱點消除殆盡。
CIEM 的組成要素
雲端基礎架構權限管理的主要功能是權限可視性、許可權調整、進階分析和法遵。CIEM 解決方案雖由不同的組成要素所構成,但都具備以下三個共同特點。
- 集中管理
以控制中心做為 CIEM 集中管理的儀表板。這讓 IT 和安全團隊可以有效率的利用雲端基礎架構權限,從單一位置管理單一或多重雲端環境。CIEM 儀表板加快並簡化了系統監控,可迅速偵測到異常情況,並以自動化取代過去手動設定變更的作業方式,進而提高營運效率。 - 身分治理
CIEM 的身分治理是藉由設定權限方式來指定每個雲端實體適用什麼權限。這麼做可清楚呈現出在任一時間點授予雲端實體的存取層級,從而減輕權限風險。CIEM 透過自動化掃描提供對單一和多重雲端環境的可視性,藉此持續評估存取控制原則、規則和設定,並提供有關已設置的權限,還有每個雲端實體依據該等權限可執行哪些操作及存取哪些資源的最新詳細資訊。
在確認一個權限後,雲端基礎架構權限管理會判定授予雲端實體的存取特權是否為達成其預定目標的最小必要權限。如果權限提供過多的存取權,CIEM 可以提醒管理員手動解決問題,或自動修改權限以提升企業環境的效率。 - 安全規則和原則
安全原則和規則決定了在單一或多重雲端環境中,雲端實體有權存取並控制資源、工具和服務的人、事、時、地和原因。CIEM 並非使用通用規則和條件,而是利用強大的工具(包括採用機器學習技術的進階分析和使用者實體行為分析 (UEBA))來執行存取評估。CIEM 規則及原則所包括和治理的內容有:
- 在安全資訊和事件管理(Security Information and Event Management , SIEM) 中,安全通訊協定(Transport Layer Security , TLS) 可提供有關使用者在任何給定時間所能獲得的最高工作負載存取層級。
- SIEM 中的指標記錄功能會追蹤使用情況,找出有濫用跡象的身分權限以優先採行最小權限存取,防止因過度授予特權而出現安全漏洞。
- SIEM 中的法遵管理和驗證功能會透過持續比較現有權限與安全規章和要求來進行自動化評估,確保法規遵循。雲端基礎架構權限管理還可以偵測設定變更,導致原本的法規遵循變成違規的情況。
如何使用雲端基礎架構權限管理
雲端基礎架構權限管理讓雲端存取管理得以突破識別人類使用者權限的範疇。由於非人類經常會存取雲端執行個體,CIEM 也必須管理應用程式、機器、服務帳戶,以及需要存取應用程式和資料庫的連線裝置的雲端權限,這裡所謂的連線裝置包含像是 IoT(Internet of Things , 物聯網) 裝置(如印表機、監視攝影機、讀卡機)和 OT(Operating Technology , 營運) 裝置(如感應器、機器人、可程式化邏輯控制器(Programmable Logic Controller , PLC))。
CIEM 還能執行精細的存取控制,以限制存取並防止未經許可的資料分享。這在需要管理數百萬個別權限的單一和多重雲端環境中至關重要。
CIEM 帶來了自動化的力量,確保在需求不斷變化的情況下仍可嚴格管理權限,並強制執行最小存取控制。
CIEM 還可以使用機器學習等先進技術,建議執行特定類型工作所需的最小權限。
比如使用者要求存取系統以確認設定,就是一個透過如何使用雲端基礎架構權限管理的範例。使用者可獲得一次性的臨時存取權用來執行任務。工作完成後會自動撤銷該存取權。稽核會顯示使用者在任何指定時間內擁有的確切許可權。這項資訊可以用來追蹤惡意行為或提供機器學習資料集,以協助改善最小權限存取建議。
CIEM 及雲端安全(Cloud Security)
雲端基礎架構權限管理是因應需求而誕生的產物。隨著雲端運算的複雜度和安全漏洞不斷增長,組織必須尋求用更好的方法來管理單一和多重雲端環境中的權限。
CIEM 是專為單一和多重雲端環境打造而成,用於保護和管理數以千計的應用程式、服務和存取雲端資源的使用者。CIEM 透過對存取雲端資源的身分,不斷評估和驗證其特權和存取權,並遵循零信任架構安全的原則,從而提高管理特權、存取權和身份的效率。
此外,CIEM 儀表板提供了集中管理權限的介面,同時也 減輕風險(與使用者權限管理不當有關的風險)。CIEM 提供的存取自動化服務支援單一和多重雲端生態系的部署和擴展。
CIEM 如何改善雲端安全?
隨著組織擴展其雲端基礎架構,因涉及大量身分和許可權,存取管理變得愈加複雜和繁瑣。透過將 CIEM 整合至雲端安全架構中,組織不僅可以加強其防禦機制,還能更加策略性的佈局大規模的安全管理。以下是 CIEM 解決方案的幾個核心能力,有助於對這些環境進行有效率的大規模管理,進而提高雲端安全。
自動化管理權限
CIEM 解決方案提供的自動化工具可即時管理和調整權限,改善雲端安全。隨著雲端環境的演變,CIEM 解決方案可以持續評估並修改許可權,以符合不斷變化的情勢,無需人為操作介入。這種動態方法可防止特權過度膨脹,並確保即時汰換掉過時或不必要的許可權。
保障法遵
透過協助組織遵守有關資料保護與存取控制的監管要求,CIEM 確保雲端安全系統最佳實務相互契合。這包括提供在所有雲端服務中強制執行一致原則的機制。有時 CIEM 會運行自動化法遵功能,例如生成稽核軌跡和報告,以便找出需要更新或改善的地方。
強制執行最小權限存取
強制執行最小權限存取是 CIEM 解決方案改善雲端環境的另一個方法。遵守最小權限原則可確保使用者、應用程式和系統僅獲得執行其工作所需的最低層級存取權。透過限制存取權,CIEM 可降低因特權過高而引發意外或惡意資安事故的風險。
可擴展性及多重雲端安全防護
隨著多重雲端環境日益普及,在不同雲端平台上管理安全的難度也變來越高。CIEM 解決方案主要是擴展並在不同的雲端供應商之間運作,提供一體化的安全功能,簡化複雜多重雲端環境中的安全運作和管理。
可視性與控制
CIEM 工具藉由提供對所有雲端資源及其相關許可權的全方位可視性來改善雲端安全。這使安全團隊能夠識別並修正設定錯誤、不當指派或過度許可權。強化的可視性還有助於安全團隊更清楚了解並加強控制雲端資源的存取方式、時間和人員。
雲端基礎架構權限管理的優勢
CIEM 的關鍵優勢速覽
- 大規模保護雲端生態系,防範存取點安全漏洞
- 分析權限的態勢,揭示風險並偵測威脅
- 自動化所有監控流程
- 提供對組織的使用者、非人類身分和雲端資源的所有權限及其使用情況的全方位可視性
- 確保個別使用者不超出其存取角色的界限
- 協助組織更快速輕鬆地全面實行並持續採行最小權限存取控制
- 一致且妥善管理所有雲端資源存取
- 監控不同雲端環境的身分,並確保其符合定義的治理要求
- 提供對現有帳戶和權限的稽核
- 補救與過度存取特權相關的漏洞
- 撤銷及清除與組織不再有關聯的雲端實體的存取特權和憑證
- 可輕鬆與現有安全解決方案及其他雲端解決方案相互整合的設計
CIEM 的關鍵優勢
總體而言,雲端基礎架構權限管理能填補組織的雲端安全缺口,並為單一和多重雲端部署提供諸多集中化優勢。上述清單總結了 CIEM 的優勢;以下是部份特定 CIEM 優勢的詳細說明。
自動化
借助 CIEM,組織可實行規則,在特定情況下觸發自動操作,例如用它來強制執行安全原則。範例包括多因子驗證 (Multi-Factor Authenication , MFA) 要求或根據使用者的角色來限制其許可權。
強化法遵
CIEM 透過持續監控、提醒和補救,確保雲端實體權限的完整性和有效性。透過自動化及合併單一和多重雲端平台的雲端實體存取管理系統,這些環境得以維護法遵並做好接受稽核的準備。
跨雲端關聯和洞察
透過匯整企業整個雲端部署中的雲端實體相關資料,雲端基礎架構權限管理可以更輕鬆且一致性的強制執行存取控制原則。這也讓 CIEM 能夠提供跨所有單一和多重雲端環境的一體化稽核軌跡。
此外,CIEM 可分析此資料,找出可能代表惡意活動跡象的趨勢。此資料亦可用來定義相似使用者的群組,以及識別應採行職能分工和最小權限存取的情況。
持續、精細的可視性
雲端基礎架構權限流程可針對組織雲端基礎架構,提供持續且精細的可視性,以及單一或多重雲端環境中所有許可權和活動的詳細資訊。如此即可讓團隊透過更有效的存取控制監控和管理,清楚瞭解什麼人在何時存取了哪些雲端資源。
改善安全態勢
實行精心設計的 CIEM 解決方案,透過下列方式提供更強大的安全防護:
- 縮小攻擊面
- 評估並排定問題的優先順序,以及建議補救策略
- 建立並維護所有現有權限的準確盤點清單
- 偵測可能代表威脅跡象的異常雲端交易,例如惡意活動、人為錯誤或違反安全通訊協議
- 強制執行零信任架構(Zero Trust)安全的關鍵原則,也就是最小權限原則
- 識別並自動化更新設定錯誤、未使用或違反原則的權限
調整許可權
雲端基礎架構權限管理可協助組織輕鬆調整許可權,避免 IT 與安全團隊為了節省時間而採用超出必要範圍的寬鬆許可權。使用 CIEM,可以輕鬆根據特定的存取要求佈建個別資源,並隨著需求的變化調整特權。
降低風險並強化安全
CIEM 透過實行最小權限原則來實現組織的零信任架構安全。零信任架構是一種網路安全方法,其透過驗證數位互動的每一個階段來徹底消除使用者間的隱性信任。再加上 CIEM 可持續監控許可權的使用方式,降低了雲端環境的風險,進而強化其安全性。
快速敏捷的 DevSecOps
CIEM 協助 DevSecOps(代表Development (開發)、Security (資料安全)與Operations (維運) , 是一種將安全性整合到軟體發展週期所有階段的架構) 團隊透過運用持續採行最小權限存取所需的精細許可權,來管理雲端基礎架構的存取設定,這使得他們能夠在不危及安全的前提下,加速提供或佈建服務。
單一儀表板提供的可視性
CIEM 儀表板可集中呈現多重雲端平台的權限總覽,使得存取和特權控制變得更加容易,進而改善身分管理。這個權限檢視畫面還支援風險評估和補救策略。
選擇 CIEM 解決方案
談到雲端基礎架構權限管理解決方案時,大家最常會問的是:「我們真的需要嗎?」這裡列出幾個可引導您做決定的情況。
| 什麼情況下應該加入 CIEM | 什麼情況下可以延後加入 CIEM |
|---|---|
| 需使用沙盒(Sandbox)環境來開發和測試工作。 需持續監控雲端環境中的所有身分(即使數量不多)。 需要自動化身分管理。 法遵為優先要務且環境複雜。 環境中有大量的雲端實體。 | 雲端環境中的雲端實體不多。 雲端環境是私有且封閉的環境。 |
| 何時應該增添 CIEM | 何時可以延後增添 CIEM |
| 需使用沙箱環境來開發和測試工作。 需持續監控雲端環境中的所有身分(即使數量不多)。 需要自動化身分管理。 法遵為優先要務且環境複雜。 環境中有大量的雲端實體。 | 雲端環境中的雲端實體不多。 雲端環境是私有且封閉的環境。 |
選擇 CIEM 解決方案時,請評估以下特性和功能:
- 與現行架構和安全堆疊結合的能力
- 自動化偵側、補救和緩解能力
- 分析所有原則類型及安全態勢的能力
- 全方位可視性
- 跨雲端關聯
- 搜尋每個雲端實體和帳戶活動
- 權限優化和保護
- 實行指導
- 記錄和報告法遵及其他稽核的能力
- 可靠的雲端支援
- 支援聯合和原生身分
- 使用者友善介面(User Friendly Interface)
CIEM 常見問答集
以下是一些有關雲端基礎架構權限管理的常見問答集。
CIEM 要怎麼發音?
與逐個字母發音不同,CIEM 通常是唸成一個單音「kim」。在進行與 CIEM 解決方案和部署相關的口頭交流時,這種發音比較簡潔明瞭。
為什麼 CIEM 很重要?
CIEM 是專為支援最小權限存取控制而設計的,它可以強化雲端生態系的安全,並促進在複雜且動態的雲端型基礎架構環境中遵守法遵要求。透過實行最小權限存取,CIEM 解決方案可有效縮小攻擊面。此外,它側重於精細且動態的存取控制不僅提高了安全性,而且還支援法遵工作,這使得 CIEM 成為雲端安全策略很重要的一部分。
CIEM 解決了哪些權限管理挑戰?
法遵和監管要求
多數組織都必須遵守嚴格的資料存取和隱私權監管要求。CIEM 解決方案會自動強制執行存取原則,以協助組織迅速有效的遵循監管標準。它還支援提供稽核追蹤和詳細報告,以供稽核期間展現法遵。
識別及減輕風險
在複雜的多重雲端環境中,難以清楚了解哪些使用者有權存取什麼資源,這使得識別潛在的安全風險變得十分艱難。CIEM 方案透過過對權限和使用模式提供精細的可視性來解決這個問題。這使組織能夠偵測並減輕風險,例如未使用的許可權、異常存取行為和潛在的 內部威脅。
多重雲端環境管理
使用來自多個雲端服務供應商的服務時(這在許多組織中很常見),跨這些不同平台管理權限可能極其困難。CIEM 解決方案支援在多重雲端環境中隨著使用量的增長而擴展雲端部署。
過度佈建許可權
CIEM 解決方案解決了雲端環境中最常見的問題之一,也就是過度佈建許可權。當使用者或實體擁有超出其角色所需的存取權時,就會發生這種情況,這與最小權限原則直接相衝突。這些多餘的權限會產生安全漏洞,可能導致資料外洩。CIEM 系統會強制執行最小權限原則,以限制權限並縮小攻擊面。
雲端環境的快速變化
雲端基礎架構本質上是處於不停變動的狀態,且會隨著需求的變化而增加、修改或移除資源。傳統的權限管理系統通常難以跟上這些變化。CIEM 解決方案提供的自動化工具可根據預先定義的原則和即時分析來即時動態調整許可權,以確保與安全通訊協定相契合,讓問題迎刃而解。
可視性及權限控制
隨著雲端生態系的成長,要持續擁有可視性並控制誰有權存取哪些內容變得愈發困難,導致敏感資料面臨外洩風險。CIEM 解決方案提供全方位的可視性,清楚呈現各雲端平台的所有權限。
CSPM 與 CIEM 有什麼差別?
| CSPM(Cloud Security Posture Management , 雲端安全態勢管理) | CIEM |
| 著重於識別和管理與雲端資源設定相關的風險,具體方法包括: -持續監控雲端環境以偵測設定錯誤、法遵違規和潛在的安全破口 -根據最佳實務和監管標準,自動化審查和補救跨雲端服務的設定 -提供對雲端架構的可視性 -提醒安全團隊有設定錯誤(例如,不安全的資料儲存選項或設定不當的網路存取控制) | 著重於管理和保護雲端環境中的使用者許可權和權限,具體方法包括: -強制執行最小權限原則 -提供有關誰可以存取哪些資源的詳細洞察 -協助安全團隊有效控制和管理存取權 -減少許可權蔓生 -減輕因過度許可權導致的內部威脅或資料意外曝光的風險 -自動化偵測和補救不當的許可權設定 |
CSPM 與 CIEM 相結合,提供了一種全方位的雲端安全方法,涵蓋雲端環境設定及其中的身分和權限管理。這種分層式的雲端安全方法確保組織能夠安全且有效率的利用雲端技術,並建立強大的防禦體系,抵禦潛在的威脅和漏洞。
適用於現代企業安全產品組合的雲端基礎架構權限管理
隨著企業不斷轉移至雲端環境,組織必須更加重視雲端安全。傳統解決方案在現代企業環境中有許多限制。CIEM 能夠滿足企業所需的嚴格安全要求,並具備與新部署同步擴展的能力,使得許多組織對 CIEM 趨之若鶩。
