特權(quán)賬號管理的那些坑，芯盾時代PAM幫你踩平！

如果你是一家公司的老板，忽然發(fā)現(xiàn)公司保險箱的鑰匙被人偷了，你會不會有點慌？

當然，如果你真的是老板，真的有個保險箱，保險箱又有真的有一把鑰匙，那么這把鑰匙一定會被妥善保管，比如把它放到另一個保險箱里……

但是在數(shù)字世界里，企業(yè)IT資產(chǎn)和數(shù)據(jù)資源的“鑰匙”——特權(quán)賬號，卻遠沒有這樣的待遇。它們要么得不到妥善管理，被“內(nèi)鬼”用來挖公司墻角，比如某微信營銷服務(wù)商被運維人員利用特權(quán)賬號“刪庫”，導致市值蒸發(fā)超10億，300萬用戶的小程序宕機；要么被黑客視為頭號目標，拿到手后搞個大新聞，比如拉斯維加斯市因特權(quán)賬號（域服務(wù)器賬號）被盜，導致多項市政服務(wù)中斷，還泄露了1.169TB的敏感數(shù)據(jù)。

如此重要的特權(quán)賬號，企業(yè)為什么不好好管理？其實，這還真不全是企業(yè)的錯~

特權(quán)賬號怎么管？企業(yè)真的很為難！

特權(quán)賬號，是指數(shù)據(jù)中心內(nèi)部，分布在主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等資產(chǎn)上具有較高訪問權(quán)限的賬號，衍生到一切資產(chǎn)上具有可訪問權(quán)限的賬號。按照Gartner的分類，特權(quán)賬號分為人員特權(quán)賬號和軟件特權(quán)賬號，其中人員特權(quán)賬號又分為個人特權(quán)賬號、系統(tǒng)定義的共享特權(quán)賬號和企業(yè)定義的共享特權(quán)賬號3種。

通過定義和分類，不難看出特權(quán)賬號的特點——分布散，種類雜，數(shù)量多，權(quán)限高。這直接導致了企業(yè)的特權(quán)賬號管理面臨六大難題：

1.賬號梳理難

數(shù)據(jù)中心中，特權(quán)賬號的數(shù)量往往是設(shè)備數(shù)量的十倍以上。這些賬號分布在不同的設(shè)備和應(yīng)用中，類型復雜，狀態(tài)不一，僅憑人工管理無法掌握其全貌。

2.風險識別難

由于無法掌握特權(quán)賬號的全貌，企業(yè)難以對賬號風險情況進行分析，實施針對性的治理和防護。這導致了未改密賬號、弱密碼賬號、幽靈賬號、僵尸賬號等風險賬號長期存在，為黑客提供了突破口。

3.用戶管控難

企業(yè)內(nèi)部普遍存在多個管理員使用同一個特權(quán)賬號的情況，導致企業(yè)難以將每一次特權(quán)訪問落實到人，無法實現(xiàn)精細、有效的特權(quán)賬號管控。

4.權(quán)限管理難

由于缺乏有效的管理工具，企業(yè)無法對特權(quán)賬號的訪問權(quán)限進行精準的、動態(tài)的管理。多人共用的共享特權(quán)賬號更是普遍存在權(quán)限過度開放的問題，為“內(nèi)鬼”提供了便利之門。

5.密碼修改難

由于特權(quán)賬號的分布散、數(shù)量多，如果單憑人工，企業(yè)無法按等級保護相關(guān)要求每三個月對密碼進行一次修改。另外，應(yīng)用內(nèi)嵌賬號、中間件賬號等擁有特殊屬性的特權(quán)賬號，修改密碼一般需要安排獨立變更窗口，甚至需要專門配置開發(fā)人員支持，這導致很多企業(yè)難以推動內(nèi)嵌賬號定期改密，讓內(nèi)嵌賬號成為了安全防線的盲點。

6.安全審計難

由于缺乏統(tǒng)一的特權(quán)賬號管理平臺，企業(yè)無法實現(xiàn)對特權(quán)訪問的全面監(jiān)控和審計，很多惡意行為可能長期存在且不被發(fā)現(xiàn)。一旦發(fā)生安全事件，管理員無法迅速追溯風險行為，取證定責難。

芯盾時代特權(quán)賬號管理系統(tǒng)（PAM）

針對企業(yè)的特權(quán)賬號管理難題，芯盾時代基于零信任理念，結(jié)合豐富的身份安全建設(shè)經(jīng)驗，推出了特權(quán)賬號管理系統(tǒng)（PAM），為企業(yè)建立特權(quán)賬號全生命周期管理體系，幫助企業(yè)發(fā)現(xiàn)特權(quán)賬號、管理特權(quán)用戶、識別賬號風險、全局定期改密、完善安全審計，全面提升對特權(quán)賬號的管理能力。

1.賬號梳理

借助芯盾時代PAM，企業(yè)能夠自動發(fā)現(xiàn)業(yè)務(wù)應(yīng)用、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、數(shù)據(jù)庫以及存儲設(shè)備的特權(quán)賬號，并梳理所有特權(quán)賬號的賬號使用方、訪問權(quán)限、風險信息，最終形成內(nèi)容全面、分類清晰的特權(quán)賬號清單，讓企業(yè)摸清特權(quán)賬號現(xiàn)狀，為特權(quán)賬號的規(guī)范管理提供數(shù)據(jù)支撐。

2.風險識別

基于對特權(quán)賬號的梳理和分析結(jié)果，企業(yè)能夠識別弱密碼賬號、僵尸賬號、幽靈賬號、長期未改密賬號等風險賬號，形成可視化的特權(quán)賬號管理看板，便于管理員掌握賬號風險情，及時采取應(yīng)對措施。

3.用戶管理

憑借領(lǐng)先的身份安全產(chǎn)品能力，芯盾時代能夠為每個管理員創(chuàng)建唯一的可信身份。管理員登錄自己的賬號后，再使用權(quán)限內(nèi)的特權(quán)賬號進行特權(quán)訪問。通過將每一個特權(quán)賬號與管理員的身份信息相關(guān)聯(lián)，企業(yè)能通過對管理員個人的增強身份認證，保證共享特權(quán)賬號的安全性，還能提升對共享特權(quán)賬號的管控和追溯能力，消除安全盲點。

4.權(quán)限管理

芯盾時代PAM按照零信任的“最小化授權(quán)”原則，對特權(quán)賬號的訪問權(quán)限進行精細的、動態(tài)的管控。企業(yè)能夠自主制定特權(quán)賬號的訪問控制策略，基于身份、時間、IP、行為等因素動態(tài)調(diào)整特權(quán)賬號的訪問權(quán)限，針對風險訪問自適應(yīng)執(zhí)行阻斷、二次認證等策略，提升特權(quán)訪問的安全性。

5.密碼管理

芯盾時代PAM提供了密碼集中管理功能，企業(yè)能夠?qū)崿F(xiàn)自定義設(shè)置密碼安全策略、一站式定期密碼修改等功能，使得特權(quán)賬號的密碼滿足高復雜度、一機一密、定期修改等要求，實現(xiàn)自動、集中、定期修改特權(quán)賬號密碼。對于內(nèi)嵌賬號，芯盾時代PAM通過提供接口或開發(fā)SDK的方式，使應(yīng)用系統(tǒng)動態(tài)從PAM中獲取賬號密碼，既解決了內(nèi)嵌賬號的定期改密難題，又消除了因賬號密碼明文存儲導致的安全風險。

為了保證特權(quán)賬號的安全，芯盾時代PAM提供“密碼保險箱”功能，采用國密算法對所有賬號密碼進行加密存儲，既強化了特權(quán)賬號安全，也滿足了合規(guī)要求。

6.安全審計

芯盾時代PAM提供完備的日志功能，完整記錄特權(quán)訪問的全過程。通過審計日志，管理員能夠直觀的看到哪個人登錄了哪個特權(quán)賬號，在哪個時間段進行了哪些操作，從而對每一次特權(quán)訪問進行追蹤溯源，實現(xiàn)對特權(quán)訪問的閉環(huán)管理。

有了芯盾時代特權(quán)賬戶管理系統(tǒng)（PAM）,企業(yè)能夠保管好IT資產(chǎn)和數(shù)據(jù)資源的“鑰匙”，防住“內(nèi)鬼”，擋住黑客，讓企業(yè)的數(shù)字化業(yè)務(wù)更加安全~



審核編輯：劉清