CloudKnox如何創(chuàng )新身份授權安全性

2019-09-12 11:08:46    來(lái)源:    作者:

CloudKnox Security的創(chuàng )始人兼首席執行官Balaji Parimi表示,在多云環(huán)境中管理身份權限并非易事,而且是一個(gè)需要創(chuàng )新的領(lǐng)域。Parimi于2016年創(chuàng )立了CloudKnox,專(zhuān)注于在日益分散的市場(chǎng)中更輕松地管理混合云環(huán)境中的身份。CloudKnox的想法源于他之前雇主所遇到的實(shí)際操作問(wèn)題,他無(wú)法輕易找出該組織在云中使用的所有特權身份。沒(méi)有對特權身份的可見(jiàn)性和控制權,代表了組織可能無(wú)限制的風(fēng)險,因為這些帳戶(hù)具有廣泛的訪(fǎng)問(wèn)權限和功能。

“我們在任何基礎設施中看到的最大風(fēng)險是無(wú)管理的特權身份,”Parimi告訴eWEEK。“特權帳戶(hù)能夠導出數據,而不會(huì )響應市場(chǎng)上大多數DLP(數據丟失防護)工具的警報。”

到目前為止,CloudKnox已籌集了1,080萬(wàn)美元的資金,并于2018年10月正式從隱身中脫穎而出。該公司是2019年RSA會(huì )議創(chuàng )新沙盒活動(dòng)的十大決賽選手之一,展示了其平臺以及它可以做些什么來(lái)幫助組織限制特權帳戶(hù)的風(fēng)險。

據Parimi稱(chēng),如今許多組織都依賴(lài)靜態(tài)的基于角色的訪(fǎng)問(wèn)控制(RBAC)技術(shù)來(lái)授予訪(fǎng)問(wèn)權限。然而,RBAC的問(wèn)題在于它可以提供比實(shí)際需要更多的訪(fǎng)問(wèn)權限。

“范式必須從使用靜態(tài)角色轉變?yōu)閯?dòng)態(tài)數據驅動(dòng)方式,我們正在提供'足夠'的特權,”他說(shuō)。“這需要不斷監控和跟蹤正在進(jìn)行的操作,正在使用哪些特權,哪些身份正在觸及基礎設施以及他們正在做什么。”

此外,Parimi表示,還需要對不同工作負載部署模型(包括內部部署系統,VMware部署和公共云)的所有特權帳戶(hù)進(jìn)行全面計算。

CloudKnox如何工作

CloudKnox所做的是創(chuàng )建基于活動(dòng)的授權協(xié)議。Parimi解釋說(shuō),今天的每個(gè)云提供商都有自己的授權方式,這導致了混亂和政策差距。CloudKnox協(xié)議提供了一種規范化所有不同授權方法的方法。

“我們實(shí)施了可以與其他授權系統進(jìn)行交互并正確做出決策的協(xié)議實(shí)施,”Parimi說(shuō)。

CloudKnox將其Sentry軟件打包成Linux虛擬機,然后客戶(hù)可以在他們部署工作負載的任何環(huán)境中運行。CloudKnox Sentry軟件收集與身份相關(guān)的數據,并識別與身份相關(guān)聯(lián)的不同活動(dòng)。來(lái)自CloudKnox Sentry的數據被發(fā)送到處理數據的CloudKnox FortSentry服務(wù)。

“我們在FortSentry中的機器學(xué)習算法為每個(gè)身份創(chuàng )建配置文件,我們使用我們的特權蠕變索引來(lái)計算風(fēng)險,”他說(shuō)。

Parimi解釋說(shuō),特權蠕變索引可以識別給定身份的權限數量以及實(shí)際使用的權限數量。他說(shuō),這是組織了解有多少未使用權限被授予各種身份的一種方式。更進(jìn)一步,由于CloudKnox系統持續監控身份和訪(fǎng)問(wèn),組織可以隨時(shí)了解各種特權身份的風(fēng)險,并有權幫助降低風(fēng)險。降低風(fēng)險的關(guān)鍵在于使用CloudKnox Just Enough Privileges(JEP)控制器實(shí)現身份之間的權限調整。

“通過(guò)JEP,您可以根據身份實(shí)際所做的事情確定特權的大小,”Parimi說(shuō)。

Parimi認為CloudKnox開(kāi)發(fā)的創(chuàng )新與傳統的特權訪(fǎng)問(wèn)管理(PAM)供應商提供的創(chuàng )新之間存在差異。在他看來(lái),PAM面向終端,如臺式機和筆記本電腦,并不一定非常適合云。他還強調CloudKnox是一種授權技術(shù),而不是一種訪(fǎng)問(wèn)技術(shù)。CloudKnox系統不僅僅授予訪(fǎng)問(wèn)權限,還授權具有所需權限的身份。

“基本上,每個(gè)人都能得到他們所需要的東西,以便在不影響生產(chǎn)力和信任的情況下完成日常工作,”他說(shuō)。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時(shí)間聯(lián)系我們修改或刪除,多謝。