可偵測與移除雲服務權限不當配置，CyberArk推集中管理平臺

組態設定錯誤（misconfiguration）已成為危害雲端安全的重要因素之一，而以提供特權存取管理（PAM）解決方案聞名的CyberArk，也看到這樣的市場需求，在2020年11月，推出一款基於特權控管、結合AI應用的雲端安全強化服務，名為Cloud Entitlements Manager（CEM），可透過持續監控雲端服務的存取行為，協助企業與組織找出可能導致資安漏洞的超額（excessive）存取許可，並且予以移除，強制實施最小權限（least privilege），有效降低風險，改善整體狀態的能見度與安全性。

可同時支援三大公有雲

CEM訴求簡單易用，由於它本身是建置在雲端服務、由CyberArk代管的軟體即服務（SaaS）解決方案，可在5分鐘之內安裝，並號稱能於1小時之內完成服務訂閱與全部設定，之後即可橫跨他們租用的AWS、Azure、GCP等公有雲環境，產生暴露等級評估分析結果，並且獲得推薦處理建議，部署細部的矯治機制，以便修正過多的權限許可設定。

另一個這項資安解決方案的特色，是能持續偵測隱藏、設定錯誤，以及未用卻開放的存取許可，能實施一致的方法實現雲端服務環境的最小權限設置。

對於雲端服務、資安，以及身分與存取管理團隊而言，CEM可透過集中式儀表板，以單一角度呈現涵蓋AWS、Azure、GCP等公有雲環境的存取許可，提供簡單、直覺的介面操作體驗。

以CEM的網頁主控臺為例，系統管理者若完成登入這套系統的程序，最先看到的會是一個集中呈現整體權限許可狀態的雷達圖，裡面以泡泡圖的方式，囊括了用戶雲端服務身分堆疊與訂閱的服務類型，呈現用戶在三大公有雲環境下的存取暴露程度，點入這些圓圈之後，會秀出目前暴露的實體（角色、使用者、群組）數量、暴露時間較長的帳號，以及可以優先採納的建議。

而在CEM本身的發展上，CyberArk表示這是建置在他們的特權存取管理，以及身分即服務（IDaaS）之上，而能提供足以保護整個企業安全性的能力，並在兼顧IT維運簡化的要求之下，能因應雲端服務存取權限許可蔓延而導致風險不斷增長的狀況。

對於推動身分安全發展策略的CyberArk而言，CEM是重要的元件，因為他們是以零信任起家，而且採用AI技術去了解前後脈絡與意圖，以便正確評估風險與採取合適的行動。事實上，所有身分之所以會獲得權限，往往是基於特定狀況而來，傳統的身分管理與防護作法已顯得過時，尤其在雲端服務環境當道的此刻，全部的身分與獲得的存取許可處於持續增加或改變的狀態，因此，企業與組織面對廣泛的人員、應用程式、機器的身分，以及他們與它們使用的服務，必須導入統一的存取保護政策。

雲端資產存取權限的辨識與對應，取自公有雲服務的身分與存取管理服務，可算出暴露在外部網路的等級分數

CEM是以SaaS雲端服務形式提供的資安解決方案，能夠透過在多雲環境實現最小權限的原則，以便降低風險，對於整個企業與組織對於雲端服務資產的存取許可，能提供集中檢視與控管的功能。

在此同時，它也能基於最小權限的原則，提供可部署的矯正機制，以便及早移除過大的存取許可。

基本上，CEM會收集IAM實體（entities）的資料、實施AI分析功能，進而能對每個可連結的雲端環境，包含身分、環境、平臺，產生暴露等級分數（exposure level score），有了這些資訊之後，可供企業與組織持續評估現行雲端服務權限配置的外露等級、找出減少風險的最快方法，並提供能夠降低風險的身分處理推薦機制。這個暴露等級評分，也能整合到企業與組織既有的資安、系統管理、應用程式開發等工作流程當中，舉凡安全調度指揮、自動化及回應（SOAR）、身分認證系統、DevOps開發流程與工具，達到統一的雲端安全防護。

首先，CEM運用每個雲端服務平臺的身分與存取管理服務（IAM），協助企業與組織用戶，識別與對應他們現行雲端服務資產的權限許可配置，而這套解決方案提供的進階偵測功能，還可以協助找出雲端業者IAM工具未特別進行追蹤的權限授與風險。

舉例來說，可因應影子系統管理者（shadow admins）的現象——所謂的影子系統管理者，是指獲得特定許可、能在將權限升級至系統管理者的帳號。

接著，CEM會在雲端服務環境當中，收集所有既存權限許可的使用情形，並基於不會中斷IT營運的考量下，找出那些原本該移除的過度授予權限，以及配發後卻未使用的權限。基於上述資料，CEM可自動計算外露等級分數，進而形成總體權限許可配置的資安風險評估。

過程中，CEM會運用這些資料，針對已批准的存取範圍來權衡權限許可配置是否合宜，並且自動計算外露層級分數，以便反映每個雲端環境的總體權限許可風險。

而為了降低暴露在外部網路而導致的風險，用戶可以在CEM建立移除非必要權限許可的政策，以便之後進行部署。關於系統產生的推薦處理機制，主要是透過系統的最小權限原則進行通知，以便因應不同業者的特殊風險。

具體而言，CEM能運用AI技術產生JSON形式的政策矯正措施，以便因應立即部署與細緻處理的需求，如此一來，能夠移除過度給予或平時不會用到的權限許可，所以，能在不嚴重影響日常持續工作必要存取的狀態下，緩解相關的威脅。

關於最小權限的強制實施，CEM不僅能幫助企業與組織跟進採用雲端服務安全最佳實務，以及法規遵循框架，也可以將暴露等級分數整合API與Webhook，將相關資訊餵送至安全調度指揮、自動化及回應系統（SOAR）、身分認證系統、DevOps開發流程與工具，提升既有IT系統的價值。

產品資訊

CyberArk Cloud Entitlements Manager
●原廠：CyberArk
●建議售價：廠商未提供
●解決方案型態：SaaS雲端服務
●支援公有雲環境與工作區管理範圍：AWS（帳號）、AWS EKS（叢集）、微軟Azure（服務訂閱）、Google Cloud Platform（專案）
●服務等級協議：99.9%
●監控目標：用戶在公有雲使用的身分與存取管理服務
●防護方式：雲端實體的掃描、暴露狀態的呈現、權限許可的分析、權限運用的分析、矯正的執行
●整合同廠牌其他解決方案：CyberArk Privilege Cloud

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】