【RSA2019创新沙盒 】CloudKnox:用于混合云环境中的身份授权管理平台
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》
每届RSA大会的创新沙盒环节都可谓万众瞩目。创新沙盒的初衷是为网络安全领域的初创企业提供平台,让他们展示自己的创新技术或愿景,以及他们可能为信息安全行业带来的变革与发展。
2019年,入围RSA大会创新沙盒“十强”的企业将在3月4日的大会现场各自进行3分钟左右的展示并回答委员会的问题。评委包括行业投资专家、网络安全专家、网络安全公司的CEO、企业CISO、行业顾问等。为了帮助大家了解这十家企业,绿盟科技推出了系列文章,今天为大介绍的的是CloudKnox公司。
公司介绍
CloudKnox是一家位于美国加利福尼亚州森尼韦尔的初创高科技公司,成立于2015年9月。公司已经完成A轮融资,累计融资1075万美元。
介绍该公司前,我们先提如下几个问题:
- 谁可以访问云环境?
- 这些用户都有哪些权限?
- 用户使用这些权限可以做什么?
- 用户实际使用过哪些权限?
- 风险是什么,我们如何可以降低风险?
当前的云平台大多采用基于角色的访问控制(RBAC)的访问控制模型,不同的角色具备不同的权限,然后赋予用户特定的角色以使其具备相应的权限。但是在云环境中,按照这样的策略所赋予用户的权限有可能过大。2017年2月,亚马逊AWS因为一名程序员的误操作导致大量服务器被删,最终导致Amazon S3宕机4小时。这说明,在云环境中,尤其需要对高风险权限的操作进行限制。
CloudKnox专注于访问控制领域,致力解决上述问题,关注于用户身份所具有的权限和其实际使用的权限,希望通过对用户操作时所用的身份、权限的梳理,并最小化其身份所需要的权限,从而降低未使用的权限泄露所带来的风险。
产品介绍
该公司提供一个云安全平台(CloudKnox Security Platform),用于混合云环境中的身份授权管理(Identity Authorization Administration,IAA),以降低凭据丢失、误操作和恶意的内部人员所带来的风险。目前该平台已经支持主流的云计算环境,如Microsoft Azure、VMWare vSphere、Amazon Web Services、Google Cloud等。
CloudKnox Security Platform有五大关键能力:
(1) 对于身份、权限、活动和资源的可视化和洞察力;
(2) 对身份进行基于活动的授权(Activity-based authorization),授权对象包括服务账户、API keys、第三方合作伙伴等;
(3) JEP(Just Enough Privileges)控制器可自动调整用户的权限,从而降低高权限用户所带来的风险;
(4) 在混合云环境中进行异常检测和身份活动分析;
(5) 提供高质量的活动数据用于合规性报告,提供强大的查询接口用于调查问题。
下面通过该平台的一些截图来对其功能进行介绍。
(1)CloudKnox Security Platform对用户的行为进行持续地监控,用户行为蕴含着系统对该用户进行该操作的授权。通过持续监控,平台可把用户所具有的权限分为两类,使用过和未使用过,如下图所示。
安全管理员在开始时会授予用户若干权限,但有些业务权限可能并不会被用到,且又存在窃取并滥用的可能,造成不必要的风险,换言之,如果能裁剪这些未使用的权限,则将风险最小化。
(2)该平台会对上述风险进行评估,如果未使用的权限越多,或这些权限被滥用导致的风险越高,则整体风险分数越高。
(3)发现上述风险后,管理员可以通过点击鼠标来对身份所具备的权限进行取消或授权。
(4)可以直观看到用户的威胁分数等信息,也可以将其导出成CSV、PDF等格式的文件。
点评
传统的权限管理具有固定、不持续的特点,容易造成管理和运营的脱节。通过分析我们发现,CloudKnox的思路是一个用户具备某个权限,但是平时又不使用这个权限,则可以认为这个用户不具备这个权限并予以撤销。这其实也是对最小特权原理的一种实现方式,CloudKnox所提出的JEP,本质上也就是最小特权原理,但这种运行时进行闭环式的评估,比传统的权限管理更有实用性和更好的用户体验。
但实际环境中,身份、权限关系复杂,即便一些权限一直未使用,在某一刻也有可能需要使用。这一刻有可能对应凭据丢失、误操作和恶意的内部人员的操作,但也有可能是正常用户的需要。虽然管理员可以对已经撤销的权限进行再次授权,但从用户需要这一权限到管理员进行核实确认并授权中间会有一定的时间间隔,而这一间隔,有可能使得一些关键业务响应不够及时。另外,当身份、权限众多时,管理员的工作量有可能很大。笔者从CloudKnox的公开资料中暂未看到对于这些问题的相关描述。但总的来说,通过对用户的实际未使用权限进行限制,确实可以有效降低凭据丢失、误操作和恶意的内部人员所带来的风险。
公司官网:http://www.cloudknox.io
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
抓住核心命脉,布局安全可靠,东软NetEye势在必行!
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 随着互联网的加速渗透,网络可以说已经成为不可或缺的一部分,被大家称为继海、陆、空、天之外的第五大主权空间。和国家的领土不容侵犯一样,我国的网络空间也同样不容侵犯,由此一来网络安全也就相当重要。尤其是近年来,国家对于网络安全的重视程度提升到全新高度。 东软集团副总裁兼网络安全事业部总经理杨纪文 东软集团副总裁兼网络安全事业部总经理杨纪文表示,“没有信息化就没有现代化”、“没有网络安全就没有国家安全”,网络安全核心技术的发展对国家发展重要性会持续递增。 如东软网络安全事业部副总经理路娜所讲,网络安全能力的建设就是网络世界的国防建设,在现实世界中,我国实现了国防的安全可靠,能够生产自己的防御武器。同理,在网络世界中,如果想要把握自己的命运,也要做到完全的安全可靠,核心技术是国之重器,但放眼国内网络安全市场,最主流的架构依旧是英特尔+Linux操作系统的架构。路娜认为,当前社会正在从信息化时代向数据时代过渡,然而无论是信息化时代还是数据时代,网络安全只会越来越重要,网络安全的建设也越来越成为国家的核心能力! 东软网络安全事...
- 下一篇
由一个极端案例引发的讨论:当算法觉得你想死……
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 一个悲伤的故事,英国14岁少女 Molly Russell 在2017年令人意外的选择了自杀,我们可能很难想象究竟会是什么样的事情能让一个涉世未深的小女孩走上绝路。 之后的发现,在Molly自杀之前曾在网上搜寻关于自杀和自残的图片,这些图片甚至通过一些她喜欢的社交平台被推荐出来。即便是在 Molly 去世之后的几个月里,Pinterest 依然在自动推送给她一些电子邮件,内容也是关于自残相关的图片,甚至打开Molly 的Instagram,Feed流中也充斥着大量相关的内容。 悲剧发生之后,Molly 的父亲认为Instagram和Pinterest 是杀害他女儿的帮凶。 我始终坚持,技术无罪。但当算法认为你想死的时候,我们又该怎么办? Molly 的悲剧让人有一种说不出来的无奈,甚至有些气愤。据此衍生出一个新的论点——Instagram和Pinterest等社交平台正在加剧年轻人“ 精神健康危机 ” 。英国青少年的自杀率是八年前的两倍,社交媒体被认为是英国“自杀一代”崛起的一个原因。 Molly的去世,让很多人注...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS8编译安装MySQL8.0.19
- CentOS6,CentOS7官方镜像安装Oracle11G
- 2048小游戏-低调大师作品
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- Docker快速安装Oracle11G,搭建oracle11g学习环境