每屆RSA大會(huì)的創(chuàng)新沙盒環(huán)節(jié)都可謂萬(wàn)眾矚目。創(chuàng)新沙盒的初衷是為網(wǎng)絡(luò)安全領(lǐng)域的初創(chuàng)企業(yè)提供平臺(tái)，讓他們展示自己的創(chuàng)新技術(shù)或愿景，以及他們可能為信息安全行業(yè)帶來(lái)的變革與發(fā)展。

2019年，入圍RSA大會(huì)創(chuàng)新沙盒“十強(qiáng)”的企業(yè)將在3月4日的大會(huì)現(xiàn)場(chǎng)各自進(jìn)行3分鐘左右的展示并回答委員會(huì)的問(wèn)題。評(píng)委包括行業(yè)投資專家、網(wǎng)絡(luò)安全專家、網(wǎng)絡(luò)安全公司的CEO、企業(yè)CISO、行業(yè)顧問(wèn)等。為了幫助大家了解這十家企業(yè)，綠盟科技推出了系列文章，今天為大介紹的的是CloudKnox公司。

公司介紹

CloudKnox是一家位于美國(guó)加利福尼亞州森尼韋爾的初創(chuàng)高科技公司，成立于2015年9月。公司已經(jīng)完成A輪融資，累計(jì)融資1075萬(wàn)美元。

介紹該公司前，我們先提如下幾個(gè)問(wèn)題：

- 誰(shuí)可以訪問(wèn)云環(huán)境?

- 這些用戶都有哪些權(quán)限?

- 用戶使用這些權(quán)限可以做什么?

- 用戶實(shí)際使用過(guò)哪些權(quán)限?

- 風(fēng)險(xiǎn)是什么，我們?nèi)绾慰梢越档惋L(fēng)險(xiǎn)?

當(dāng)前的云平臺(tái)大多采用基于角色的訪問(wèn)控制(RBAC)的訪問(wèn)控制模型，不同的角色具備不同的權(quán)限，然后賦予用戶特定的角色以使其具備相應(yīng)的權(quán)限。但是在云環(huán)境中，按照這樣的策略所賦予用戶的權(quán)限有可能過(guò)大。2017年2月，亞馬遜AWS因?yàn)橐幻绦騿T的誤操作導(dǎo)致大量服務(wù)器被刪，最終導(dǎo)致Amazon S3宕機(jī)4小時(shí)。這說(shuō)明，在云環(huán)境中，尤其需要對(duì)高風(fēng)險(xiǎn)權(quán)限的操作進(jìn)行限制。

CloudKnox專注于訪問(wèn)控制領(lǐng)域，致力解決上述問(wèn)題，關(guān)注于用戶身份所具有的權(quán)限和其實(shí)際使用的權(quán)限，希望通過(guò)對(duì)用戶操作時(shí)所用的身份、權(quán)限的梳理，并最小化其身份所需要的權(quán)限，從而降低未使用的權(quán)限泄露所帶來(lái)的風(fēng)險(xiǎn)。

產(chǎn)品介紹

該公司提供一個(gè)云安全平臺(tái)(CloudKnox Security Platform)，用于混合云環(huán)境中的身份授權(quán)管理(Identity Authorization Administration，IAA)，以降低憑據(jù)丟失、誤操作和惡意的內(nèi)部人員所帶來(lái)的風(fēng)險(xiǎn)。目前該平臺(tái)已經(jīng)支持主流的云計(jì)算環(huán)境，如Microsoft Azure、VMWare vSphere、Amazon Web Services、Google Cloud等。

CloudKnox Security Platform有五大關(guān)鍵能力：

(1) 對(duì)于身份、權(quán)限、活動(dòng)和資源的可視化和洞察力;

(2) 對(duì)身份進(jìn)行基于活動(dòng)的授權(quán)(Activity-based authorization)，授權(quán)對(duì)象包括服務(wù)賬戶、API keys、第三方合作伙伴等;

(3) JEP(Just Enough Privileges)控制器可自動(dòng)調(diào)整用戶的權(quán)限，從而降低高權(quán)限用戶所帶來(lái)的風(fēng)險(xiǎn);

(4) 在混合云環(huán)境中進(jìn)行異常檢測(cè)和身份活動(dòng)分析;

(5) 提供高質(zhì)量的活動(dòng)數(shù)據(jù)用于合規(guī)性報(bào)告，提供強(qiáng)大的查詢接口用于調(diào)查問(wèn)題。

下面通過(guò)該平臺(tái)的一些截圖來(lái)對(duì)其功能進(jìn)行介紹。

(1)CloudKnox Security Platform對(duì)用戶的行為進(jìn)行持續(xù)地監(jiān)控，用戶行為蘊(yùn)含著系統(tǒng)對(duì)該用戶進(jìn)行該操作的授權(quán)。通過(guò)持續(xù)監(jiān)控，平臺(tái)可把用戶所具有的權(quán)限分為兩類，使用過(guò)和未使用過(guò)，如下圖所示。

安全管理員在開(kāi)始時(shí)會(huì)授予用戶若干權(quán)限，但有些業(yè)務(wù)權(quán)限可能并不會(huì)被用到，且又存在竊取并濫用的可能，造成不必要的風(fēng)險(xiǎn)，換言之，如果能裁剪這些未使用的權(quán)限，則將風(fēng)險(xiǎn)最小化。

(2)該平臺(tái)會(huì)對(duì)上述風(fēng)險(xiǎn)進(jìn)行評(píng)估，如果未使用的權(quán)限越多，或這些權(quán)限被濫用導(dǎo)致的風(fēng)險(xiǎn)越高，則整體風(fēng)險(xiǎn)分?jǐn)?shù)越高。

(3)發(fā)現(xiàn)上述風(fēng)險(xiǎn)后，管理員可以通過(guò)點(diǎn)擊鼠標(biāo)來(lái)對(duì)身份所具備的權(quán)限進(jìn)行取消或授權(quán)。

(4)可以直觀看到用戶的威脅分?jǐn)?shù)等信息，也可以將其導(dǎo)出成CSV、PDF等格式的文件。

點(diǎn)評(píng)

傳統(tǒng)的權(quán)限管理具有固定、不持續(xù)的特點(diǎn)，容易造成管理和運(yùn)營(yíng)的脫節(jié)。通過(guò)分析我們發(fā)現(xiàn)，CloudKnox的思路是一個(gè)用戶具備某個(gè)權(quán)限，但是平時(shí)又不使用這個(gè)權(quán)限，則可以認(rèn)為這個(gè)用戶不具備這個(gè)權(quán)限并予以撤銷。這其實(shí)也是對(duì)最小特權(quán)原理的一種實(shí)現(xiàn)方式，CloudKnox所提出的JEP，本質(zhì)上也就是最小特權(quán)原理，但這種運(yùn)行時(shí)進(jìn)行閉環(huán)式的評(píng)估，比傳統(tǒng)的權(quán)限管理更有實(shí)用性和更好的用戶體驗(yàn)。

但實(shí)際環(huán)境中，身份、權(quán)限關(guān)系復(fù)雜，即便一些權(quán)限一直未使用，在某一刻也有可能需要使用。這一刻有可能對(duì)應(yīng)憑據(jù)丟失、誤操作和惡意的內(nèi)部人員的操作，但也有可能是正常用戶的需要。雖然管理員可以對(duì)已經(jīng)撤銷的權(quán)限進(jìn)行再次授權(quán)，但從用戶需要這一權(quán)限到管理員進(jìn)行核實(shí)確認(rèn)并授權(quán)中間會(huì)有一定的時(shí)間間隔，而這一間隔，有可能使得一些關(guān)鍵業(yè)務(wù)響應(yīng)不夠及時(shí)。另外，當(dāng)身份、權(quán)限眾多時(shí)，管理員的工作量有可能很大。筆者從CloudKnox的公開(kāi)資料中暫未看到對(duì)于這些問(wèn)題的相關(guān)描述。但總的來(lái)說(shuō)，通過(guò)對(duì)用戶的實(shí)際未使用權(quán)限進(jìn)行限制，確實(shí)可以有效降低憑據(jù)丟失、誤操作和惡意的內(nèi)部人員所帶來(lái)的風(fēng)險(xiǎn)。

公司官網(wǎng)：http://www.cloudknox.io