以提供身分治理(Identity Governance)解決方案起家的SailPoint,從2020年開始跨入雲端治理(Cloud Governance)領域,他們在自家的SailPoint Predictive Identity平臺上推出兩款服務,其中之一,就是我們現在所要介紹的SailPoint Cloud Access Management(CAM),能夠針對多種公有雲IaaS環境的使用者存取,無論是以人或非人(設備、應用程式或系統)的身分存在,均可提供更好的能見度,當中透過即時監控機制,能夠自動探查與管理高風險的存取,並且運用事先定義的存取護欄(guardrails),確保企業與組織在重要的區域當中,均能導入最小權限存取(Least Privilege Access)的配置。
之所以發展這項解決方案,SailPoint當時表示,多雲平臺的採用將大幅且快速增長,在此執行敏感應用系統與資料存取的人員或設備越來越多,若使用雲端服務平臺的方式與行為缺乏管理,企業與組織將無法掌握與控制這些情況,勢必會產生新的風險領域。
現在有了SailPoint發展的這款產品,企業可以透過單一平臺將身分治理延伸至多種雲端服務平臺與資源,並能涵蓋所有使用者,包括固定使用者、特權使用者,以及非人使用者,這些都是普遍存在現行IT環境的身分。
基本上,SailPoint CAM的主要功能,在於協助用戶瞭解各種存取活動以何種方式得到許可,系統內建預先定義的業務規則,可橫跨多種雲端服務平臺,執行自動辨識與管理,找出高風險、過度授予,以及使用者從未執行的存取行為。
在這套產品當中,提供持續與自動化的雲端存取監控能力——不間斷地針對雲端存取方式與行為,執行搜尋形式的查詢作業,而這樣的探勘就是上述所謂的guardrails,以此監督常見的資安威脅,像是資料暴露、物件不當公開、在IT部門不知情的狀況下而由使用者私自進行的影子存取(shadow access),不合法的網路存取及權限提升。
對於所有的雲端物件,以及對應的存取關係、活動,SailPoint CAM會產生一份安全存取圖學資料(security access graph),一旦管理者啟用guardrails保護機制,系統將會在這個存取圖學資料中持續搜尋,找出符合查詢條件的警示資訊。
SailPoint在此預設提供6種偵測護欄,例如,跨多種資料來源的存取,意外或非法資料外洩的存取、高風險的特權存取、具有系統管理權的服務身分進行的存取、從不明雲端服務發起的影子存取,以及依據資安最佳實務而能判斷具有高度安全風險的物件與身分關係。
根據原廠公布的產品資訊來看,SailPoint CAM具備4大功能特色。首先是關於雲端服務身分存取的生命週期管理,用戶可在此集中控制與治理AWS、Azure、GCP的身分存取歷程,能進行自定條件的查詢;第二是提升用戶對於多雲環境存取行為的能見度,透過統一的作法來顯示與管理物件與身分資訊,有助於掌握進行存取活動的使用者身分、存取的雲端資源部位,以及採用的存取方式。
第三是因應法規遵循的要求進行管理,SailPoint CAM可協助驗證存取公司人員存取雲端服務的行為,確保使用者對於所有雲端平臺的存取均能符合要求,也能針對整個企業與組織強制實施存取政策,便於推動安全性稽核及法規遵循的工作。
第四則是落實最小權限存取,SailPoint CAM可橫跨多種雲端服務環境,協助用戶找出超額給予的權限,對於現行使用者的工作角色或身負職責所不需要的權限,此項解決方案也能提供簡易移除的方式,避免遭到濫用。
而在產品供應形式上,SailPoint CAM是採用軟體即服務(SaaS)型態,能針對三大公有雲業者——AWS、微軟Azure、Google Cloud Platform(GCP)的基礎架構即服務(IaaS)存取活動,協助企業進行瞭解與規範。
若要採用與導入這項雲端身分治理解決方案,該公司旗下多款身分安全平臺均已囊括在內,例如,可建置在企業內部環境的IdentityNow(IDN),原廠管理的SaaS雲端平臺IdentityIQ(IDQ),以及今年4月發表的SailPoint Identity Security Cloud套餐Business Plus版。
產品資訊
SailPoint Cloud Access Management
●原廠:SailPoint
●建議售價:廠商未提供
●解決方案型態:SaaS雲端服務
●支援公有雲環境:AWS、微軟Azure、Google Cloud Platform
●支援身分供應平臺:Azure Active Directory、Okta
●可檢視的網路資訊:虛擬私有網路(VPC)、子網路、路由表、安全性群組、執行個體
●可探查的資源物件與服務:執行個體、資料庫、物件儲存區、網路、負載平衡器、加密金鑰
●可探查的身分資訊:使用者、群組、角色、服務帳號、執行個體、Lambda、聯邦使用者、聯邦群組
●警示通知方式:電子郵件、Slack、Syslog
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】
熱門新聞
2024-11-15
2024-11-15
2024-11-22
2024-11-22
2024-11-12
2024-11-14