CloudKnox如何創(chuàng)新身份授權(quán)安全性

2019-09-12 11:08:46    來源:    作者:

CloudKnox Security的創(chuàng)始人兼首席執(zhí)行官Balaji Parimi表示,在多云環(huán)境中管理身份權(quán)限并非易事,而且是一個需要創(chuàng)新的領(lǐng)域。Parimi于2016年創(chuàng)立了CloudKnox,專注于在日益分散的市場中更輕松地管理混合云環(huán)境中的身份。CloudKnox的想法源于他之前雇主所遇到的實際操作問題,他無法輕易找出該組織在云中使用的所有特權(quán)身份。沒有對特權(quán)身份的可見性和控制權(quán),代表了組織可能無限制的風(fēng)險,因為這些帳戶具有廣泛的訪問權(quán)限和功能。

“我們在任何基礎(chǔ)設(shè)施中看到的最大風(fēng)險是無管理的特權(quán)身份,”Parimi告訴eWEEK。“特權(quán)帳戶能夠?qū)С鰯?shù)據(jù),而不會響應(yīng)市場上大多數(shù)DLP(數(shù)據(jù)丟失防護)工具的警報。”

到目前為止,CloudKnox已籌集了1,080萬美元的資金,并于2018年10月正式從隱身中脫穎而出。該公司是2019年RSA會議創(chuàng)新沙盒活動的十大決賽選手之一,展示了其平臺以及它可以做些什么來幫助組織限制特權(quán)帳戶的風(fēng)險。

據(jù)Parimi稱,如今許多組織都依賴靜態(tài)的基于角色的訪問控制(RBAC)技術(shù)來授予訪問權(quán)限。然而,RBAC的問題在于它可以提供比實際需要更多的訪問權(quán)限。

“范式必須從使用靜態(tài)角色轉(zhuǎn)變?yōu)閯討B(tài)數(shù)據(jù)驅(qū)動方式,我們正在提供'足夠'的特權(quán),”他說。“這需要不斷監(jiān)控和跟蹤正在進行的操作,正在使用哪些特權(quán),哪些身份正在觸及基礎(chǔ)設(shè)施以及他們正在做什么。”

此外,Parimi表示,還需要對不同工作負載部署模型(包括內(nèi)部部署系統(tǒng),VMware部署和公共云)的所有特權(quán)帳戶進行全面計算。

CloudKnox如何工作

CloudKnox所做的是創(chuàng)建基于活動的授權(quán)協(xié)議。Parimi解釋說,今天的每個云提供商都有自己的授權(quán)方式,這導(dǎo)致了混亂和政策差距。CloudKnox協(xié)議提供了一種規(guī)范化所有不同授權(quán)方法的方法。

“我們實施了可以與其他授權(quán)系統(tǒng)進行交互并正確做出決策的協(xié)議實施,”Parimi說。

CloudKnox將其Sentry軟件打包成Linux虛擬機,然后客戶可以在他們部署工作負載的任何環(huán)境中運行。CloudKnox Sentry軟件收集與身份相關(guān)的數(shù)據(jù),并識別與身份相關(guān)聯(lián)的不同活動。來自CloudKnox Sentry的數(shù)據(jù)被發(fā)送到處理數(shù)據(jù)的CloudKnox FortSentry服務(wù)。

“我們在FortSentry中的機器學(xué)習(xí)算法為每個身份創(chuàng)建配置文件,我們使用我們的特權(quán)蠕變索引來計算風(fēng)險,”他說。

Parimi解釋說,特權(quán)蠕變索引可以識別給定身份的權(quán)限數(shù)量以及實際使用的權(quán)限數(shù)量。他說,這是組織了解有多少未使用權(quán)限被授予各種身份的一種方式。更進一步,由于CloudKnox系統(tǒng)持續(xù)監(jiān)控身份和訪問,組織可以隨時了解各種特權(quán)身份的風(fēng)險,并有權(quán)幫助降低風(fēng)險。降低風(fēng)險的關(guān)鍵在于使用CloudKnox Just Enough Privileges(JEP)控制器實現(xiàn)身份之間的權(quán)限調(diào)整。

“通過JEP,您可以根據(jù)身份實際所做的事情確定特權(quán)的大小,”Parimi說。

Parimi認為CloudKnox開發(fā)的創(chuàng)新與傳統(tǒng)的特權(quán)訪問管理(PAM)供應(yīng)商提供的創(chuàng)新之間存在差異。在他看來,PAM面向終端,如臺式機和筆記本電腦,并不一定非常適合云。他還強調(diào)CloudKnox是一種授權(quán)技術(shù),而不是一種訪問技術(shù)。CloudKnox系統(tǒng)不僅僅授予訪問權(quán)限,還授權(quán)具有所需權(quán)限的身份。

“基本上,每個人都能得到他們所需要的東西,以便在不影響生產(chǎn)力和信任的情況下完成日常工作,”他說。

鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯(lián)系我們修改或刪除,多謝。