CloudKnox Security的创始人兼首席执行官Balaji Parimi表示,在多云环境中管理身份权限并非易事,而且是一个需要创新的领域。Parimi于2016年创立了CloudKnox,专注于在日益分散的市场中更轻松地管理混合云环境中的身份。CloudKnox的想法源于他之前雇主所遇到的实际操作问题,他无法轻易找出该组织在云中使用的所有特权身份。没有对特权身份的可见性和控制权,代表了组织可能无限制的风险,因为这些帐户具有广泛的访问权限和功能。
“我们在任何基础设施中看到的最大风险是无管理的特权身份,”Parimi告诉eWEEK。“特权帐户能够导出数据,而不会响应市场上大多数DLP(数据丢失防护)工具的警报。”
到目前为止,CloudKnox已筹集了1,080万美元的资金,并于2018年10月正式从隐身中脱颖而出。该公司是2019年RSA会议创新沙盒活动的十大决赛选手之一,展示了其平台以及它可以做些什么来帮助组织限制特权帐户的风险。
据Parimi称,如今许多组织都依赖静态的基于角色的访问控制(RBAC)技术来授予访问权限。然而,RBAC的问题在于它可以提供比实际需要更多的访问权限。
“范式必须从使用静态角色转变为动态数据驱动方式,我们正在提供'足够'的特权,”他说。“这需要不断监控和跟踪正在进行的操作,正在使用哪些特权,哪些身份正在触及基础设施以及他们正在做什么。”
此外,Parimi表示,还需要对不同工作负载部署模型(包括内部部署系统,VMware部署和公共云)的所有特权帐户进行全面计算。
CloudKnox如何工作
CloudKnox所做的是创建基于活动的授权协议。Parimi解释说,今天的每个云提供商都有自己的授权方式,这导致了混乱和政策差距。CloudKnox协议提供了一种规范化所有不同授权方法的方法。
“我们实施了可以与其他授权系统进行交互并正确做出决策的协议实施,”Parimi说。
CloudKnox将其Sentry软件打包成Linux虚拟机,然后客户可以在他们部署工作负载的任何环境中运行。CloudKnox Sentry软件收集与身份相关的数据,并识别与身份相关联的不同活动。来自CloudKnox Sentry的数据被发送到处理数据的CloudKnox FortSentry服务。
“我们在FortSentry中的机器学习算法为每个身份创建配置文件,我们使用我们的特权蠕变索引来计算风险,”他说。
Parimi解释说,特权蠕变索引可以识别给定身份的权限数量以及实际使用的权限数量。他说,这是组织了解有多少未使用权限被授予各种身份的一种方式。更进一步,由于CloudKnox系统持续监控身份和访问,组织可以随时了解各种特权身份的风险,并有权帮助降低风险。降低风险的关键在于使用CloudKnox Just Enough Privileges(JEP)控制器实现身份之间的权限调整。
“通过JEP,您可以根据身份实际所做的事情确定特权的大小,”Parimi说。
Parimi认为CloudKnox开发的创新与传统的特权访问管理(PAM)供应商提供的创新之间存在差异。在他看来,PAM面向终端,如台式机和笔记本电脑,并不一定非常适合云。他还强调CloudKnox是一种授权技术,而不是一种访问技术。CloudKnox系统不仅仅授予访问权限,还授权具有所需权限的身份。
“基本上,每个人都能得到他们所需要的东西,以便在不影响生产力和信任的情况下完成日常工作,”他说。