CloudKnox如何創(chuàng)新身份授權(quán)安全性

CloudKnox Security的創(chuàng)始人兼首席執(zhí)行官Balaji Parimi表示，在多云環(huán)境中管理身份權(quán)限并非易事，而且是一個(gè)需要?jiǎng)?chuàng)新的領(lǐng)域。Parimi于2016年創(chuàng)立了CloudKnox，專注于在日益分散的市場(chǎng)中更輕松地管理混合云環(huán)境中的身份。CloudKnox的想法源于他之前雇主所遇到的實(shí)際操作問(wèn)題，他無(wú)法輕易找出該組織在云中使用的所有特權(quán)身份。沒(méi)有對(duì)特權(quán)身份的可見(jiàn)性和控制權(quán)，代表了組織可能無(wú)限制的風(fēng)險(xiǎn)，因?yàn)檫@些帳戶具有廣泛的訪問(wèn)權(quán)限和功能。

“我們?cè)谌魏位A(chǔ)設(shè)施中看到的最大風(fēng)險(xiǎn)是無(wú)管理的特權(quán)身份，”Parimi告訴eWEEK。“特權(quán)帳戶能夠?qū)С鰯?shù)據(jù)，而不會(huì)響應(yīng)市場(chǎng)上大多數(shù)DLP(數(shù)據(jù)丟失防護(hù))工具的警報(bào)。”

到目前為止，CloudKnox已籌集了1,080萬(wàn)美元的資金，并于2018年10月正式從隱身中脫穎而出。該公司是2019年RSA會(huì)議創(chuàng)新沙盒活動(dòng)的十大決賽選手之一，展示了其平臺(tái)以及它可以做些什么來(lái)幫助組織限制特權(quán)帳戶的風(fēng)險(xiǎn)。

據(jù)Parimi稱，如今許多組織都依賴靜態(tài)的基于角色的訪問(wèn)控制(RBAC)技術(shù)來(lái)授予訪問(wèn)權(quán)限。然而，RBAC的問(wèn)題在于它可以提供比實(shí)際需要更多的訪問(wèn)權(quán)限。

“范式必須從使用靜態(tài)角色轉(zhuǎn)變?yōu)閯?dòng)態(tài)數(shù)據(jù)驅(qū)動(dòng)方式，我們正在提供'足夠'的特權(quán)，”他說(shuō)。“這需要不斷監(jiān)控和跟蹤正在進(jìn)行的操作，正在使用哪些特權(quán)，哪些身份正在觸及基礎(chǔ)設(shè)施以及他們正在做什么。”

此外，Parimi表示，還需要對(duì)不同工作負(fù)載部署模型(包括內(nèi)部部署系統(tǒng)，VMware部署和公共云)的所有特權(quán)帳戶進(jìn)行全面計(jì)算。

CloudKnox如何工作

CloudKnox所做的是創(chuàng)建基于活動(dòng)的授權(quán)協(xié)議。Parimi解釋說(shuō)，今天的每個(gè)云提供商都有自己的授權(quán)方式，這導(dǎo)致了混亂和政策差距。CloudKnox協(xié)議提供了一種規(guī)范化所有不同授權(quán)方法的方法。

“我們實(shí)施了可以與其他授權(quán)系統(tǒng)進(jìn)行交互并正確做出決策的協(xié)議實(shí)施，”Parimi說(shuō)。

CloudKnox將其Sentry軟件打包成Linux虛擬機(jī)，然后客戶可以在他們部署工作負(fù)載的任何環(huán)境中運(yùn)行。CloudKnox Sentry軟件收集與身份相關(guān)的數(shù)據(jù)，并識(shí)別與身份相關(guān)聯(lián)的不同活動(dòng)。來(lái)自CloudKnox Sentry的數(shù)據(jù)被發(fā)送到處理數(shù)據(jù)的CloudKnox FortSentry服務(wù)。

“我們?cè)贔ortSentry中的機(jī)器學(xué)習(xí)算法為每個(gè)身份創(chuàng)建配置文件，我們使用我們的特權(quán)蠕變索引來(lái)計(jì)算風(fēng)險(xiǎn)，”他說(shuō)。

Parimi解釋說(shuō)，特權(quán)蠕變索引可以識(shí)別給定身份的權(quán)限數(shù)量以及實(shí)際使用的權(quán)限數(shù)量。他說(shuō)，這是組織了解有多少未使用權(quán)限被授予各種身份的一種方式。更進(jìn)一步，由于CloudKnox系統(tǒng)持續(xù)監(jiān)控身份和訪問(wèn)，組織可以隨時(shí)了解各種特權(quán)身份的風(fēng)險(xiǎn)，并有權(quán)幫助降低風(fēng)險(xiǎn)。降低風(fēng)險(xiǎn)的關(guān)鍵在于使用CloudKnox Just Enough Privileges(JEP)控制器實(shí)現(xiàn)身份之間的權(quán)限調(diào)整。

“通過(guò)JEP，您可以根據(jù)身份實(shí)際所做的事情確定特權(quán)的大小，”Parimi說(shuō)。

Parimi認(rèn)為CloudKnox開(kāi)發(fā)的創(chuàng)新與傳統(tǒng)的特權(quán)訪問(wèn)管理(PAM)供應(yīng)商提供的創(chuàng)新之間存在差異。在他看來(lái)，PAM面向終端，如臺(tái)式機(jī)和筆記本電腦，并不一定非常適合云。他還強(qiáng)調(diào)CloudKnox是一種授權(quán)技術(shù)，而不是一種訪問(wèn)技術(shù)。CloudKnox系統(tǒng)不僅僅授予訪問(wèn)權(quán)限，還授權(quán)具有所需權(quán)限的身份。

“基本上，每個(gè)人都能得到他們所需要的東西，以便在不影響生產(chǎn)力和信任的情況下完成日常工作，”他說(shuō)。