การจัดการสิทธิ์โครงสร้างพื้นฐานคลาวด์ (CIEM) เป็นแนวปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ ช่วยให้องค์กรจัดการข้อมูลประจำตัวและสิทธิพิเศษในระบบคลาวด์ และปกป้องทรัพยากรระบบคลาวด์ของตน
องค์กรต่างๆ ใช้ CIEM เพื่อจัดการสิทธิ์และสิทธิ์การเข้าถึงและการระบุตัวตนบนคลาวด์ (IAM) ตาม หลักการของสิทธิที่น้อยที่สุด – มอบสิทธิ์การเข้าถึงข้อมูลประจำตัวที่น้อยที่สุดที่จำเป็นต่อการทำงาน ซึ่งช่วยให้องค์กรสามารถตรวจจับความเสี่ยงที่เกิดจากการละเมิดสิทธิ์ ป้องกันการเข้าถึงทรัพยากรคลาวด์ที่สำคัญโดยไม่ได้รับอนุญาต และอุดช่องโหว่ด้านความปลอดภัยในแพลตฟอร์มคลาวด์ของตน
Cloud Identities และ Resources คืออะไร?
การระบุตัวตนบนคลาวด์สามารถรวมถึง:
- ล้านคน
- Groups
- บัญชีบริการ
- บทบาท
ทรัพยากรคลาวด์อาจรวมถึง:
- อัตลักษณ์
- บทบาท
- นโยบาย
- วัตถุ
- บริการของเรา
ความท้าทายของโครงสร้างพื้นฐานคลาวด์
เมื่อองค์กรย้ายระบบและแอปพลิเคชันไปยังคลาวด์ พวกเขาจะพึ่งพา AMI เพื่อรักษาความปลอดภัยข้อมูลประจำตัวและทรัพยากรบนคลาวด์ อย่างไรก็ตาม โดยทั่วไป โซลูชัน IAM ที่ออกแบบมาสำหรับเครือข่ายภายในองค์กร แต่กลับไม่สอดคล้องกับระบบคลาวด์ ทำไมน่ะเหรอ?
คลาวด์มีความหลากหลาย: แพลตฟอร์มคลาวด์มีโครงสร้างที่ซับซ้อนและเปลี่ยนแปลงตลอดเวลา แพลตฟอร์มเหล่านี้รองรับผู้เช่ามากกว่าศูนย์ข้อมูลทั่วไปมาก ครอบคลุมโครงสร้างพื้นฐานแบบไฮบริดและมัลติคลาวด์ที่หลากหลาย โซลูชัน IAM ทั่วไปไม่สามารถตรวจสอบสิทธิ์การเข้าถึงและสิทธิพิเศษในระดับนี้ได้
คลาวด์เป็นแบบไดนามิก: ผู้ใช้ ทรัพยากร บริการ และ API ซึ่งมักจะมีอายุการใช้งานสั้นมาก จะถูกสร้างและลบบนคลาวด์อย่างต่อเนื่อง และสามารถเพิ่มหรือลดขนาดได้อย่างรวดเร็วตามความต้องการ ซึ่งทำให้การกำหนดสิทธิ์ที่ถูกต้องและป้องกันการเปิดเผยข้อมูลที่ไม่จำเป็นทำได้ยาก
ความปลอดภัยเป็นความรับผิดชอบร่วมกัน: ผู้ให้บริการคลาวด์มีหน้าที่รับผิดชอบในการปกป้องโครงสร้างพื้นฐานคลาวด์โดยรวมให้กับลูกค้า ไม่ว่าจะเป็นฮาร์ดแวร์ ซอฟต์แวร์ และบริการเครือข่าย แต่ลูกค้าจะเป็นผู้รับผิดชอบทุกสิ่งทุกอย่างที่เกิดขึ้นภายในสภาพแวดล้อมคลาวด์ของตนเอง ซึ่งรวมถึงการจัดการระบบ การปกป้องข้อมูล การอัปเดตและแพตช์ รวมถึง IAM องค์กรที่ต้องเผชิญกับความรับผิดชอบในระดับนี้เป็นครั้งแรกมีแนวโน้มที่จะทำผิดพลาดมากกว่า
การอนุญาตใช้คลาวด์ไม่ได้เป็นสากล: ผู้ให้บริการระบบคลาวด์แต่ละรายเสนอชุดของตัวเอง การรับรอง, การอนุญาต และการตรวจสอบ โดยรวมแล้ว AWS, Azure และ GCP รองรับสิทธิ์การใช้งานเฉพาะมากกว่า 21,000 รายการ แม้ว่าเครื่องมือและแนวทางปฏิบัติเหล่านี้จะทำงานคล้ายคลึงกัน แต่ก็แข่งขันกัน ทับซ้อนกัน และใช้คำศัพท์ที่แตกต่างกัน ซึ่งหมายความว่าสิทธิ์การใช้งาน IAM บนคลาวด์ไม่สามารถใช้ร่วมกันได้ ซึ่งทำให้องค์กรที่ใช้ผู้ให้บริการคลาวด์หลายรายประสบปัญหาในการกำหนดนโยบาย IAM เป็นมาตรฐานและติดตามสิทธิ์การใช้งาน IAM ทั่วทั้งคลาวด์
ด้วยเหตุผลเหล่านี้ องค์กรต่างๆ จึงสามารถให้สิทธิ์การเข้าถึงข้อมูลประจำตัวบนคลาวด์ที่มากเกินไปโดยไม่ได้ตั้งใจ และเปิดเผยช่องโหว่ด้านความปลอดภัยได้ ซึ่งโซลูชัน CIEM เข้ามามีบทบาท
โซลูชัน CIEM ทำงานอย่างไร?
โครงสร้างพื้นฐานคลาวด์มีความเสี่ยงโดยธรรมชาติ เนื่องจากทรัพยากรต่างๆ อาจถูกเปิดเผยต่อหลายตัวตนพร้อมกัน นี่คือเหตุผลที่โซลูชัน CIEM ควรมีคุณลักษณะหลัก 4 ประการ ดังนี้
1. ทัศนวิสัย: โซลูชัน CIEM ตรวจสอบว่าข้อมูลประจำตัวบนคลาวด์มีสิทธิ์อนุญาตที่มากเกินไปหรือล้าสมัยหรือไม่ และช่วยให้องค์กรแก้ไขปัญหาหากเป็นเช่นนั้น
2. สิทธิพิเศษน้อยที่สุด: การรักษาสุขอนามัยด้านความปลอดภัยที่ดี หมายถึงการทำให้มั่นใจว่าผู้ใช้มีสิทธิ์ขั้นต่ำที่จำเป็นต่อการทำงาน โซลูชัน CIEM ช่วยลดภาระงานและปกป้องทรัพยากรคลาวด์จากการเปิดเผยข้อมูลที่ไม่จำเป็น
3. การวิเคราะห์: โซลูชัน CIEM มอบคุณลักษณะการตรวจสอบ การรายงาน และการตรวจสอบอย่างต่อเนื่องที่ช่วยให้องค์กรตรวจพบความเสี่ยงและการกำหนดค่าที่ผิดพลาด ดำเนินการสืบสวนนิติวิทยาศาสตร์อย่างละเอียด และปฏิบัติตามกฎระเบียบ
CIEM มีประโยชน์อะไรบ้าง?
โซลูชัน CIEM เช่น Rezonate คือโซลูชันแบบครบวงจรสำหรับการจัดการสิทธิ์ IAM บนคลาวด์ในสภาพแวดล้อมคลาวด์ที่หลากหลาย บทบาทหลักของโซลูชันนี้คือการตรวจจับตัวตนบนคลาวด์ที่มีสิทธิ์เกินขีดจำกัด และลบข้อมูลเหล่านั้นออกเพื่อป้องกันความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นโดยไม่ได้ตั้งใจ
โซลูชัน CIEM มอบการมองเห็นแบบครบวงจรทั่วทั้งโครงสร้างพื้นฐานคลาวด์ พร้อมเปิดเผยสิทธิ์การเข้าถึง เส้นทางการเข้าถึง และรูปแบบกิจกรรมของข้อมูลประจำตัวบนคลาวด์ ช่วยให้องค์กรสามารถระบุจุดอ่อนและแก้ไขก่อนที่จะนำไปสู่ความเสี่ยงด้านความปลอดภัย ส่งผลให้มีการตรวจสอบประวัติการใช้งานที่ดีขึ้นและสอดคล้องกันมากขึ้น ป้องกันความเสี่ยงจากการกำหนดค่าผิดพลาด และรับรองการปฏิบัติตามข้อกำหนดบนแพลตฟอร์มคลาวด์ที่หลากหลาย