公司介紹

CloudKnox是一家位於美國加利福尼亞州森尼韋爾的初創高科技公司，成立於2015年9月。公司已經完成A輪融資，累計融資1075萬美元。

介紹該公司前，我們先提如下幾個問題：

- 誰可以訪問雲環境？

- 這些使用者都有哪些許可權？

- 使用者使用這些許可權可以做什麼？

- 使用者實際使用過哪些許可權？

- 風險是什麼，我們如何可以降低風險？

當前的雲平臺大多采用基於角色的訪問控制（RBAC）的訪問控制模型，不同的角色具備不同的許可權，然後賦予使用者特定的角色以使其具備相應的許可權。但是在雲環境中，按照這樣的策略所賦予使用者的許可權有可能過大。2017年2月，亞馬遜AWS因為一名程式設計師的誤操作導致大量伺服器被刪，最終導致Amazon S3當機4小時。這說明，在雲環境中，尤其需要對高風險許可權的操作進行限制。

CloudKnox專注於訪問控制領域，致力解決上述問題，關注於使用者身份所具有的許可權和其實際使用的許可權，希望通過對使用者操作時所用的身份、許可權的梳理，並最小化其身份所需要的許可權，從而降低未使用的許可權洩露所帶來的風險。

產品介紹

該公司提供一個雲安全平臺（CloudKnox Security Platform），用於混合雲環境中的身份授權管理（Identity Authorization Administration，IAA），以降低憑據丟失、誤操作和惡意的內部人員所帶來的風險。目前該平臺已經支援主流的雲端計算環境，如Microsoft Azure、VMWare vSphere、Amazon Web Services、Google Cloud等。

CloudKnox Security Platform有五大關鍵能力：

（1） 對於身份、許可權、活動和資源的視覺化和洞察力；

（2） 對身份進行基於活動的授權（Activity-based authorization），授權物件包括服務賬戶、API keys、第三方合作伙伴等；

（3） JEP（Just Enough Privileges）控制器可自動調整使用者的許可權，從而降低高許可權使用者所帶來的風險；

（4） 在混合雲環境中進行異常檢測和身份活動分析；

（5） 提供高質量的活動資料用於合規性報告，提供強大的查詢介面用於調查問題。

下面通過該平臺的一些截圖來對其功能進行介紹。

（1）CloudKnox Security Platform對使用者的行為進行持續地監控，使用者行為蘊含著系統對該使用者進行該操作的授權。通過持續監控，平臺可把使用者所具有的許可權分為兩類，使用過和未使用過，如下圖所示。

安全管理員在開始時會授予使用者若干許可權，但有些業務許可權可能並不會被用到，且又存在被攻擊者竊取並濫用的可能，造成不必要的風險，換言之，如果能裁剪這些未使用的許可權，則將風險最小化。

（2）該平臺會對上述風險進行評估，如果未使用的許可權越多，或這些許可權被濫用導致的風險越高，則整體風險分數越高。

（3）發現上述風險後，管理員可以通過點選滑鼠來對身份所具備的許可權進行取消或授權。

（4）可以直觀看到使用者的威脅分數等資訊，也可以將其匯出成CSV、PDF等格式的檔案。

點評

傳統的許可權管理具有固定、不持續的特點，容易造成管理和運營的脫節。通過分析我們發現，CloudKnox的思路是一個使用者具備某個許可權，但是平時又不使用這個許可權，則可以認為這個使用者不具備這個許可權並予以撤銷。這其實也是對最小特權原理的一種實現方式，CloudKnox所提出的JEP，本質上也就是最小特權原理，但這種執行時進行閉環式的評估，比傳統的許可權管理更有實用性和更好的使用者體驗。

但實際環境中，身份、許可權關係複雜，即便一些許可權一直未使用，在某一刻也有可能需要使用。這一刻有可能對應憑據丟失、誤操作和惡意的內部人員的操作，但也有可能是正常使用者的需要。雖然管理員可以對已經撤銷的許可權進行再次授權，但從使用者需要這一許可權到管理員進行核實確認並授權中間會有一定的時間間隔，而這一間隔，有可能使得一些關鍵業務響應不夠及時。另外，當身份、許可權眾多時，管理員的工作量有可能很大。筆者從CloudKnox的公開資料中暫未看到對於這些問題的相關描述。但總的來說，通過對使用者的實際未使用許可權進行限制，確實可以有效降低憑據丟失、誤操作和惡意的內部人員所帶來的風險。

公司官網：http://www.cloudknox.io