云安全
CIEM(云基础设施权限管理)
别称: 云权限管理
定义
一种用于发现、分析并精简云环境中身份与权限的安全实践及工具类别。
公有云在 IAM 用户、角色、服务主体、联邦身份和工作负载身份上暴露了数千种细粒度权限。CIEM 工具会清点所有有效权限,将其与实际使用情况进行对比,识别过度授权的情况——例如一个被授予 s3:* 的角色实际只调用了 GetObject。它们还会发现权限提升路径(PassRole、AssumeRole 链)、长期未使用的身份以及跨账户信任风险。分析结果通常用于自动化修复、收敛角色范围,以及实施按需提权。CIEM 是 CNAPP 的核心支柱之一,在不同厂商权限模型各异的多云环境中尤其有价值。
示例
- 检出一个开发者角色,它可以通过 iam:PassRole 跳入生产管理员角色。
- 基于 90 天 CloudTrail 活动生成最小权限 IAM 策略。
相关术语
云安全
用于保护托管在公有云、私有云或混合云环境中的数据、应用和基础设施的一整套策略、控制措施和技术。
CNAPP(云原生应用保护平台)
一种集成式安全平台,融合 CSPM、CWPP、CIEM、IaC 扫描与运行时检测,用于保护云原生应用从构建到运行时的全过程。
身份与访问管理 (IAM)
用于定义数字身份并控制每个身份在何种条件下可访问哪些资源的一套学科与技术体系。
最小权限原则
一种安全原则,要求向每个用户、进程或服务仅授予其完成职责所必需的最少权限,绝不多余。
特权访问管理(PAM)
一套用于保护、控制、监控和审计具有管理员或更高权限账户与系统访问的实践与工具。
IAM Misconfiguration
IAM Misconfiguration — definition coming soon.