虚与实，CIEM对于管理多云环境的身份权限有多大作用？

从历史的角度来看，在本地环境中强制执行最低权限并不是难事，而与传统的本地网络不同，云不能依赖物理网络安全边界和防火墙来确保安全，也就是说没有牢固的边界意味着身份作为一种安全机制的作用在云环境中更为重要。

而事实上，正如文章开头所言，50%以上的权限被认为是高风险的，同时当前身份只使用了已授予权限的1%，国外安全专家将授予权限和使用权限之间的这种差距定义为权限差距，此差距越大，公司所面临的潜在攻击面就越大。当身份不需要99%的权限时，这种权限差距会使组织更容易受到网络威胁。

另一方面，现有的身份和访问管理 (IAM) 解决方案，例如身份治理管理 (IGA) 和特权访问管理 (PAM)，无法提供大规模保护云资源所需的精细可见性。同时Gartner 还预计，到 2025 年，99% 的云安全故障将是客户的错，这进一步增加了组织在云数据安全方面大手笔投资的压力。

结合以上种种，国外安全专家经过研究后提出，组织必须从静态的、基于假设的模型转变为连续的、基于活动的模型，以跟上云发展的快速变化，这样才能有效地扩展安全基础设施。为此，CIEM 应运而生。

作为CIEM的创造者，Gartner将 CIEM 定义为一种软件即服务 (SaaS) 解决方案，用于通过监控和控制权限来管理云访问。CIEM 使用分析、机器学习 (ML) 和其他方法来检测账户权限中的异常情况，例如累积权限以及休眠和不必要的权限。CIEM 是理想的最小权限方法的补救和实施方案。

CIEM的工作原理是使用最小权限(POLP)原则来管理用户的私有云和公共云权限，从而最大限度地降低授予过多权利的风险。而最小权限原则(POLP)是一种网络安全概念，它将用户账户的访问权限限制为仅完成其工作要求所必需的权限。通过特权访问应用这种严格的访问控制有助于组织最大限度地减少他们的攻击面和暴露于云泄漏、数据泄露、内部威胁和其他网络威胁的风险。同时POLP也是零信任网络架构 (ZTNA)的关键元素。

CIEM代表了一种云原生和可扩展的方式，用于自动化云中权限的连续管理。根据Gartner的介绍，CIEM是一个框架，所有有效的CIEM解决方案都应遵循该框架，以提供跨云部署最小权限的可扩展实施。该框架允许组织轻松管理和监控跨多云环境的所有身份的权利。其能力由以下几部分组成：

1、账户和权利发现：建立企业云基础设施中的身份和权利清单。

2、跨云授权关联：将跨云账户和授权相互关联，并规范化为统一的访问模型。

3、标题可视化：展示结果用的是可恶查看和分析信息的传统表格。

4、权利优化：结合使用情况和权利数据来确定最小特权的权利分配。

5、权限保护：能够检测托管云基础设施环境中的更改，并纠正违反公司政策的更改。

6、权利检测：可识别在批准流程之外进行的权利变更，以及那些被认为非典型、异常或高风险的权利变更。

7、权利补救：触发变更事件会优化权利，可对变更分析过程中的建议予以回应。

虽然CIEM的这诸多能力会让人觉得部署起来很麻烦，但其带来的生命周期方法，可以让组织不断发现、补救、监控在云中运行的每个独特用户和工作负载身份，这一战略是特别有效的，因为它符合当下威胁趋势，即各行各业的组织不断将工作负载转移到云，云提供商又添加了各种新的功能和服务，因此便产生了数万个权限，这些现象都意味着身份的数量，特别是针对工作负载的身份数量，将呈指数级增长。

CIEM生命周期方法提醒了安全团队、基础设施团队要注意云环境中的意外和过度风险，以便他们能够采取相应的行动。其主要由三个主要步骤所组成。

首先是“发现”。最初的发现阶段包括为每个身份创建一个使用配置文件，此配置文件包含个人和工作负载，目的是了解他们在执行时的操作。

权限很少有时间限制，当情况发生变化时，循环查看“是否还需要几个月前授予的权限”可能会为系统带来风险，而CIEM能够根据授予的权限和在特定时间段内使用的权限，为每位人员和工作负载身份构建活动配置文件，接着这些配置文件作为最低特权状态的基线，可帮助CIEM检测异常或可疑行为。

接下去是“补救措施”。一旦部署了CIEM，公司就能查看使用数据，以追溯每个身份实际使用的权限，比如某些工程师仅使用其50%的权限，就可以删除其他多余的权限，再比如员工需要在短期内访问特定资源，则可以授予该请求，并在分配时间到期后自动撤销该请求。

CIEM解决方案还应允许组织根据一个或多个身份的历史活动，自定义创建最低权限角色，并从高风险身份配置文件中删除未使用或存在问题的权限，这样就能确保身份具有生产所需最低数量的权限，同时又能始终如一地执行最低特权原则。简而言之，就是企业可根据历史数据和活动来调整权限的大小。

最后是“监视器”阶段。考虑到在任何给定时间内，云环境里总会活跃数千个身份，因此CIEM解决方案必须提供强大的监控和警报功能。理想情况下，组织应该能够从多个维度监控其云环境，比如通过身份，通过活动等。

“身份视图”能使团队监控身份所使用的权限，从而揭示活动配置文件中可能会提醒异常行为的任何更改。同样，“活动视图”提供了识别高风险行为的能力，比如那些突然使用高风险的许可或首次试图访问敏感资源的身份。

当检测到异常行为时，CIEM解决方案应包括启动自动响应或通知安全团队的选项，同时鉴于安全团队会收到大量警报，CIEM还应优先考虑其生成的警报类型和内容，并提供威胁的背景和梗概。

国外安全专家表示：“随着网络威胁的不断演变，作为安全人员，我们有责任不断评估当前的安全产品来跟上时代的变化，就像微软公司那样，他们常常致力于提供全面的教育和最佳实践，以增强组织的安全能力。”

在国内，业内也有安全专家表示，CSO/CISO追求零信任网络访问(ZTNA)战略是为了速战速决，特别是在当今预算紧张的情况下，而CIEM显示出它有潜力在五个关键领域取得可衡量的成果：

1、CIEM可预测和预防跨混合和多云环境的基于身份的威胁，可提供可测量的结果，用于量化风险。

2、CIEM也被证明在可视化、调查和保护所有云计算身份和权利方面是有效的。

3、CIEM正在大规模简化特权访问管理和策略实施。

4、CIEM可以在部署到最先进的平台之前执行一键式补救测试。

5、CIEM能够快速整合和修正，不会拖累Devops。

此外，当初CIEM的设计目标之一是通过强制执行最低特权访问，消除端点、人员和机器身份之间的隐性信任问题，从而帮助缩小多云之间的差距。同时，多云配置越复杂，员工管理起来就越困难，出现错误也就越常见，而CIEM的支持者表示，企业可对CIEM进行自动化规模治理和配置监视，这样就能大大减少人为错误。

国内也有安全专家表示，各组织正在增加对基础设施即服务 (IaaS) 提供商的投资，例如 Microsoft Azure、亚马逊网络服务 (AWS) 和谷歌云计算 (GCP)，而随着这些基础设施中的云身份数量成倍增加，内部和第三方攻击面也会逐渐扩大，好在CIEM 简化了整个云环境中的 IAM，可帮助组织改善其云安全状况，通过为安全团队提供对用户权限的集中可见性和控制，组织可以减轻常见的云安全风险，例如数据泄露、黑客攻击和内部威胁等风险。

另一方面，专家指出，CIEM 解决方案与其他云安全技术如云访问服务代理 (CASB)、云安全状态管理 (CSPM)等工具配合良好，可提供更有效的网络威胁防护。对于云安全的变化和发展趋势，安全团队必须实时识别此类网络威胁，以便在严重的安全事件发生之前对其进行补救，而通过将 CIEM 解决方案的功能与攻击面管理解决方案相结合，组织可以进一步加强其云保护策略。

对于CIEM能给企业带来怎样的好处和作用，对多云环境中不断发展的身份和权限又该如何更好地管理，国内安全专家如此建议。

安全供应商德人合科技表示，CIEM是企业信息化建设的一种重要手段，其主要作用是优化企业管理和提高运营效率。具体来说，CIEM可以带来以下好处和作用：

1、整合数据：CIEM平台可以将企业各个部门的数据集成到一个中心数据库中，使企业数据更加统一、准确和完整。

2、提升决策水平：CIEM平台可以为企业提供全面且实时的数据支持，帮助企业管理层进行更加精准的决策，从而提高企业运营效率和竞争力。

3、优化企业流程：CIEM平台可以自动化企业的核心业务流程，包括销售、采购、财务等方面，从而降低人工成本、减少错误和提高生产效率。

4、促进团队协作：CIEM平台可以让企业内部各部门之间进行更加紧密的沟通和协作，从而提高团队效率和减少误解和不合作情况。

德人合科技表示，总的来说，CIEM平台将会提升企业的竞争力和盈利能力，同时也增强了企业的可持续发展能力。

此外，有安全专家表示，CIEM（全称为云安全信息和事件管理）是企业用于管理和监控其IT环境中的安全事件和信息的一种解决方案。CIEM能够帮助企业实现更加全面、实时、精准和高效的安全管理和响应能力，具体好处和作用如下：

1、提高安全风险识别和应对能力：CIEM能够对企业IT环境中的所有事件进行实时检测、收集和分析，能够快速识别和排查风险，并且给出及时的响应措施。

2、加强安全合规管理：CIEM能够帮助企业实现对监管法规的合规性检测和管理，同时能够抽取、整理和存储企业的安全日志，帮助企业监控其安全事件和信息的持续合规性。

3、优化安全管理成本：CIEM能够帮助企业实现集中管理和控制其安全事件和信息，减少人工巡检和分析的投入，降低安全管理的成本。

4、提升企业安全态势感知和应对能力：CIEM能够整合多种安全设备日志，能够帮助企业对安全事件和信息进行综合分析，以便更好地理解和应对安全威胁。

5、增强安全审计和反欺诈能力：CIEM能够帮助企业实现对安全审计的跟踪和记录，抓住内部或外部欺诈行为的迹象，并且能够对相关人员和行为进行跟踪和监控。

当然，也有安全专家表示，gartner提出CIEM这个概念的时间不长，目前也没看到特别成熟的产品，尤其是在国内，虽然大多数企业都是多云环境，但并没有太多实践。而对于有何有效手段可针对多云环境中身份和权限的管理问题，专家表示，目前比较头疼的是，云环境中的身份和权限问题主要依靠的还是人和云原生的能力，外加一些管理措施。因此，这种云基础设施的身份和权限，最好还是能有原生的能力支持，像引入外部产品等手段，国内安全专家会持保守态度，尤其是多云环境的兼容、可靠性问题，可能会对生产环境造成不可预期的影响。