組態設定錯誤(misconfiguration)已成為危害雲端安全的重要因素之一,而以提供特權存取管理(PAM)解決方案聞名的CyberArk,也看到這樣的市場需求,在2020年11月,推出一款基於特權控管、結合AI應用的雲端安全強化服務,名為Cloud Entitlements Manager(CEM),可透過持續監控雲端服務的存取行為,協助企業與組織找出可能導致資安漏洞的超額(excessive)存取許可,並且予以移除,強制實施最小權限(least privilege),有效降低風險,改善整體狀態的能見度與安全性。
可同時支援三大公有雲
CEM訴求簡單易用,由於它本身是建置在雲端服務、由CyberArk代管的軟體即服務(SaaS)解決方案,可在5分鐘之內安裝,並號稱能於1小時之內完成服務訂閱與全部設定,之後即可橫跨他們租用的AWS、Azure、GCP等公有雲環境,產生暴露等級評估分析結果,並且獲得推薦處理建議,部署細部的矯治機制,以便修正過多的權限許可設定。
另一個這項資安解決方案的特色,是能持續偵測隱藏、設定錯誤,以及未用卻開放的存取許可,能實施一致的方法實現雲端服務環境的最小權限設置。
對於雲端服務、資安,以及身分與存取管理團隊而言,CEM可透過集中式儀表板,以單一角度呈現涵蓋AWS、Azure、GCP等公有雲環境的存取許可,提供簡單、直覺的介面操作體驗。
以CEM的網頁主控臺為例,系統管理者若完成登入這套系統的程序,最先看到的會是一個集中呈現整體權限許可狀態的雷達圖,裡面以泡泡圖的方式,囊括了用戶雲端服務身分堆疊與訂閱的服務類型,呈現用戶在三大公有雲環境下的存取暴露程度,點入這些圓圈之後,會秀出目前暴露的實體(角色、使用者、群組)數量、暴露時間較長的帳號,以及可以優先採納的建議。
而在CEM本身的發展上,CyberArk表示這是建置在他們的特權存取管理,以及身分即服務(IDaaS)之上,而能提供足以保護整個企業安全性的能力,並在兼顧IT維運簡化的要求之下,能因應雲端服務存取權限許可蔓延而導致風險不斷增長的狀況。
對於推動身分安全發展策略的CyberArk而言,CEM是重要的元件,因為他們是以零信任起家,而且採用AI技術去了解前後脈絡與意圖,以便正確評估風險與採取合適的行動。事實上,所有身分之所以會獲得權限,往往是基於特定狀況而來,傳統的身分管理與防護作法已顯得過時,尤其在雲端服務環境當道的此刻,全部的身分與獲得的存取許可處於持續增加或改變的狀態,因此,企業與組織面對廣泛的人員、應用程式、機器的身分,以及他們與它們使用的服務,必須導入統一的存取保護政策。
雲端資產存取權限的辨識與對應,取自公有雲服務的身分與存取管理服務,可算出暴露在外部網路的等級分數
CEM是以SaaS雲端服務形式提供的資安解決方案,能夠透過在多雲環境實現最小權限的原則,以便降低風險,對於整個企業與組織對於雲端服務資產的存取許可,能提供集中檢視與控管的功能。
在此同時,它也能基於最小權限的原則,提供可部署的矯正機制,以便及早移除過大的存取許可。
基本上,CEM會收集IAM實體(entities)的資料、實施AI分析功能,進而能對每個可連結的雲端環境,包含身分、環境、平臺,產生暴露等級分數(exposure level score),有了這些資訊之後,可供企業與組織持續評估現行雲端服務權限配置的外露等級、找出減少風險的最快方法,並提供能夠降低風險的身分處理推薦機制。這個暴露等級評分,也能整合到企業與組織既有的資安、系統管理、應用程式開發等工作流程當中,舉凡安全調度指揮、自動化及回應(SOAR)、身分認證系統、DevOps開發流程與工具,達到統一的雲端安全防護。
首先,CEM運用每個雲端服務平臺的身分與存取管理服務(IAM),協助企業與組織用戶,識別與對應他們現行雲端服務資產的權限許可配置,而這套解決方案提供的進階偵測功能,還可以協助找出雲端業者IAM工具未特別進行追蹤的權限授與風險。
舉例來說,可因應影子系統管理者(shadow admins)的現象——所謂的影子系統管理者,是指獲得特定許可、能在將權限升級至系統管理者的帳號。
接著,CEM會在雲端服務環境當中,收集所有既存權限許可的使用情形,並基於不會中斷IT營運的考量下,找出那些原本該移除的過度授予權限,以及配發後卻未使用的權限。基於上述資料,CEM可自動計算外露等級分數,進而形成總體權限許可配置的資安風險評估。
過程中,CEM會運用這些資料,針對已批准的存取範圍來權衡權限許可配置是否合宜,並且自動計算外露層級分數,以便反映每個雲端環境的總體權限許可風險。
而為了降低暴露在外部網路而導致的風險,用戶可以在CEM建立移除非必要權限許可的政策,以便之後進行部署。關於系統產生的推薦處理機制,主要是透過系統的最小權限原則進行通知,以便因應不同業者的特殊風險。
具體而言,CEM能運用AI技術產生JSON形式的政策矯正措施,以便因應立即部署與細緻處理的需求,如此一來,能夠移除過度給予或平時不會用到的權限許可,所以,能在不嚴重影響日常持續工作必要存取的狀態下,緩解相關的威脅。
關於最小權限的強制實施,CEM不僅能幫助企業與組織跟進採用雲端服務安全最佳實務,以及法規遵循框架,也可以將暴露等級分數整合API與Webhook,將相關資訊餵送至安全調度指揮、自動化及回應系統(SOAR)、身分認證系統、DevOps開發流程與工具,提升既有IT系統的價值。
產品資訊
CyberArk Cloud Entitlements Manager
●原廠:CyberArk
●建議售價:廠商未提供
●解決方案型態:SaaS雲端服務
●支援公有雲環境與工作區管理範圍:AWS(帳號)、AWS EKS(叢集)、微軟Azure(服務訂閱)、Google Cloud Platform(專案)
●服務等級協議:99.9%
●監控目標:用戶在公有雲使用的身分與存取管理服務
●防護方式:雲端實體的掃描、暴露狀態的呈現、權限許可的分析、權限運用的分析、矯正的執行
●整合同廠牌其他解決方案:CyberArk Privilege Cloud
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】
熱門新聞
2024-12-08
2024-12-08
2024-12-08
2024-12-06