前言

随着越来越多的组织将业务和数据迁移到云环境中，云上可能拥有成百上千个用户、数以万计的资产，企业对于管理和保护云中的访问权限、日志监控和审计关键活动的需求变得越来越迫切。如何合理分配这些用户的访问权限，并跟踪关键事件呢？本篇文章将从云上身份权限管理与多云日志审计两个角度，分享宵明·云安全态势管理平台（CSPM）的解决思路。

企业上云后面临的权限风险

企业上云后，主要会面临哪些权限风险呢？

• 云平台管理员权限滥用：某个云平台的管理员账户被滥用，导致未经授权的用户获得了敏感数据的访问权限，这种滥用可能导致数据泄露、业务中断和声誉损害。通过云上特权身份管理，可以实施严格的访问控制和审计措施，减少管理员账户滥用的风险。

• 特权账户泄露和滥用：一旦云环境中的特权账户凭证被盗，黑客可能利用这些账户访问和操纵敏感数据或云资源。通过云上特权身份管理的实施，可以加强身份验证措施，如多因素身份验证和单一登录，以防止未经授权的访问。

• 特权账户权限过度：在某个云环境中，特权账户被赋予了过多的权限，超出了其实际工作所需的范围，这种情况增加了滥用特权权限的风险。通过最小权限原则，可以限制特权账户的权限，仅提供执行工作所需的最低权限，减少滥用的可能性。

• 缺乏审计和监控：在某个云环境中，特权账户的访问和操作缺乏充分的审计和监控，这意味着无法及时检测到异常行为和潜在的安全事件。通过实施全面的操作日志和事件监控，可以及时发现特权账户的异常行为，并采取相应的应对措施。

权限不当造成的云上安全事件

2020年，多个高知名度Twitter账户发布了一系列欺诈性信息，包括比特币骗局。调查发现这是由一名内部员工利用了他们的权限，非法访问并篡改了账户。据外媒报道，两名前员工透露，超过1000名Twitter员工和承包商拥有访问内部工具的权限，这些工具可能会用于更改用户账户设置，并将控制权交给其他人，导致防御黑客攻击变得更加困难。

SendGrid，一家全球邮件服务商，遭受了权限滥用行为。攻击者通过获取至少一个SendGrid员工帐号的访问权限，滥用了邮件发送功能，可能会导致垃圾邮件的传播和身份欺诈行为。

以上真实案例都在提醒我们，严格的身份验证、细致的权限管理和监控措施都是保护云上系统免受滥用和未经授权访问的关键。

前沿的CIEM的解决思路

Gartner最早提出了CIEM（Cloud Infrastructure Entitlements Management）这一概念，根据Gartner的介绍，CIEM是一种用于管理和监控云环境中用户和服务账户权限的解决方案。它提供权限可见性、权限分析和评估、自动化权限管理、安全控制强化以及合规性和审计支持等功能，有助于提升云环境的安全性和合规性。

市面上已有越来越多的CIEM解决方案被应用。比如国外的一些知名CIEM厂商CyberArk、Lacework、Symantec，产品核心功能也是基于对云环境中用户和服务账户权限的全面可见性和审计功能，结合最小特权原则，持续监控特权及异常情况，根据风险优先级，给用户提供权限精细化调整建议和告警措施，并生成详细的报告，便于审计。

云上权限与日志管理解决方案

宵明·云安全态势管理平台融合了CIEM的理念，实现跨多云平台的对接，通过自动化的手段进行多云身份管理，帮助企业更直观了解云内身份权限分配，减少多云环境中基于身份的威胁。通过多云日志审计，提取价值信息，梳理云攻击链，方便企业进行事件闭环修复。

• 特权身份管理：跨越多云，了解每个云环境中存在哪些访问权利，梳理云上账号、资源、角色、组等权限实体对象，绘制数据/资源与权限的对应关系，识别授予过高访问权限带来的风险。

• 强制最低权限访问：清理对IAM最佳实践的违规配置，减少攻击面，巩固IAM安全。

• 云攻击路径管理：基于云资源的暴露状况，以及多云上账户、资产、数据的分布情况，计算可能存在的攻击路径。对于每个攻击路径，可以看到所有风险类别和任何受影响的资源，同时提供自动修复手段消除攻击的可能性。

• 云日志审计：收集各类云服务如VPC、安全组、ECS、SLB、IAM等的使用行为日志，这些日志包括登录云控制台、创建修改删除云资源等在云中产生的一切行为，隔离存放在其他位置。使用深度机器学习技术分析用户实体行为习惯，实时发现针对云的入侵并阻断。

• 威胁狩猎：支持KQL 语法查询云所有的原始日志信息及云上全量资产配置信息，结合威胁情报，捕获任意满足条件的风险数据，执行高级威胁狩猎任务。

结语

本文从云上特权身份管理和多云日志审计两个角度，阐述了默安科技如何通过自动化手段管理云上身份权限和日志的解决思路。后续本系列也将持续更新，敬请关注。