【RSA2019創新沙盒 】CloudKnox:用于混合云環境中的身份授權管理平臺
每屆RSA大會的創新沙盒環節都可謂萬眾矚目。創新沙盒的初衷是為網絡安全領域的初創企業提供平臺,讓他們展示自己的創新技術或愿景,以及他們可能為信息安全行業帶來的變革與發展。
2019年,入圍RSA大會創新沙盒“十強”的企業將在3月4日的大會現場各自進行3分鐘左右的展示并回答委員會的問題。評委包括行業投資專家、網絡安全專家、網絡安全公司的CEO、企業CISO、行業顧問等。為了幫助大家了解這十家企業,綠盟科技推出了系列文章,今天為大介紹的的是CloudKnox公司。
公司介紹
CloudKnox是一家位于美國加利福尼亞州森尼韋爾的初創高科技公司,成立于2015年9月。公司已經完成A輪融資,累計融資1075萬美元。
介紹該公司前,我們先提如下幾個問題:
- 誰可以訪問云環境?
- 這些用戶都有哪些權限?
- 用戶使用這些權限可以做什么?
- 用戶實際使用過哪些權限?
- 風險是什么,我們如何可以降低風險?
當前的云平臺大多采用基于角色的訪問控制(RBAC)的訪問控制模型,不同的角色具備不同的權限,然后賦予用戶特定的角色以使其具備相應的權限。但是在云環境中,按照這樣的策略所賦予用戶的權限有可能過大。2017年2月,亞馬遜AWS因為一名程序員的誤操作導致大量服務器被刪,最終導致Amazon S3宕機4小時。這說明,在云環境中,尤其需要對高風險權限的操作進行限制。
CloudKnox專注于訪問控制領域,致力解決上述問題,關注于用戶身份所具有的權限和其實際使用的權限,希望通過對用戶操作時所用的身份、權限的梳理,并最小化其身份所需要的權限,從而降低未使用的權限泄露所帶來的風險。
產品介紹
該公司提供一個云安全平臺(CloudKnox Security Platform),用于混合云環境中的身份授權管理(Identity Authorization Administration,IAA),以降低憑據丟失、誤操作和惡意的內部人員所帶來的風險。目前該平臺已經支持主流的云計算環境,如Microsoft Azure、VMWare vSphere、Amazon Web Services、Google Cloud等。
CloudKnox Security Platform有五大關鍵能力:
(1) 對于身份、權限、活動和資源的可視化和洞察力;
(2) 對身份進行基于活動的授權(Activity-based authorization),授權對象包括服務賬戶、API keys、第三方合作伙伴等;
(3) JEP(Just Enough Privileges)控制器可自動調整用戶的權限,從而降低高權限用戶所帶來的風險;
(4) 在混合云環境中進行異常檢測和身份活動分析;
(5) 提供高質量的活動數據用于合規性報告,提供強大的查詢接口用于調查問題。
下面通過該平臺的一些截圖來對其功能進行介紹。
(1)CloudKnox Security Platform對用戶的行為進行持續地監控,用戶行為蘊含著系統對該用戶進行該操作的授權。通過持續監控,平臺可把用戶所具有的權限分為兩類,使用過和未使用過,如下圖所示。
安全管理員在開始時會授予用戶若干權限,但有些業務權限可能并不會被用到,且又存在竊取并濫用的可能,造成不必要的風險,換言之,如果能裁剪這些未使用的權限,則將風險最小化。
(2)該平臺會對上述風險進行評估,如果未使用的權限越多,或這些權限被濫用導致的風險越高,則整體風險分數越高。
(3)發現上述風險后,管理員可以通過點擊鼠標來對身份所具備的權限進行取消或授權。
(4)可以直觀看到用戶的威脅分數等信息,也可以將其導出成CSV、PDF等格式的文件。
點評
傳統的權限管理具有固定、不持續的特點,容易造成管理和運營的脫節。通過分析我們發現,CloudKnox的思路是一個用戶具備某個權限,但是平時又不使用這個權限,則可以認為這個用戶不具備這個權限并予以撤銷。這其實也是對最小特權原理的一種實現方式,CloudKnox所提出的JEP,本質上也就是最小特權原理,但這種運行時進行閉環式的評估,比傳統的權限管理更有實用性和更好的用戶體驗。
但實際環境中,身份、權限關系復雜,即便一些權限一直未使用,在某一刻也有可能需要使用。這一刻有可能對應憑據丟失、誤操作和惡意的內部人員的操作,但也有可能是正常用戶的需要。雖然管理員可以對已經撤銷的權限進行再次授權,但從用戶需要這一權限到管理員進行核實確認并授權中間會有一定的時間間隔,而這一間隔,有可能使得一些關鍵業務響應不夠及時。另外,當身份、權限眾多時,管理員的工作量有可能很大。筆者從CloudKnox的公開資料中暫未看到對于這些問題的相關描述。但總的來說,通過對用戶的實際未使用權限進行限制,確實可以有效降低憑據丟失、誤操作和惡意的內部人員所帶來的風險。
公司官網:http://www.cloudknox.io
