如果你是一家公司的老板,忽然發(fā)現(xiàn)公司保險箱的鑰匙被人偷了,你會不會有點慌?
當然,如果你真的是老板,真的有個保險箱,保險箱又有真的有一把鑰匙,那么這把鑰匙一定會被妥善保管,比如把它放到另一個保險箱里……
但是在數(shù)字世界里,企業(yè)IT資產(chǎn)和數(shù)據(jù)資源的“鑰匙”——特權(quán)賬號,卻遠沒有這樣的待遇。它們要么得不到妥善管理,被“內(nèi)鬼”用來挖公司墻角,比如某微信營銷服務(wù)商被運維人員利用特權(quán)賬號“刪庫”,導致市值蒸發(fā)超10億,300萬用戶的小程序宕機;要么被黑客視為頭號目標,拿到手后搞個大新聞,比如拉斯維加斯市因特權(quán)賬號(域服務(wù)器賬號)被盜,導致多項市政服務(wù)中斷,還泄露了1.169TB的敏感數(shù)據(jù)。
如此重要的特權(quán)賬號,企業(yè)為什么不好好管理?其實,這還真不全是企業(yè)的錯~
特權(quán)賬號怎么管?企業(yè)真的很為難!
特權(quán)賬號,是指數(shù)據(jù)中心內(nèi)部,分布在主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等資產(chǎn)上具有較高訪問權(quán)限的賬號,衍生到一切資產(chǎn)上具有可訪問權(quán)限的賬號。按照Gartner的分類,特權(quán)賬號分為人員特權(quán)賬號和軟件特權(quán)賬號,其中人員特權(quán)賬號又分為個人特權(quán)賬號、系統(tǒng)定義的共享特權(quán)賬號和企業(yè)定義的共享特權(quán)賬號3種。
通過定義和分類,不難看出特權(quán)賬號的特點——分布散,種類雜,數(shù)量多,權(quán)限高。這直接導致了企業(yè)的特權(quán)賬號管理面臨六大難題:
1.賬號梳理難
數(shù)據(jù)中心中,特權(quán)賬號的數(shù)量往往是設(shè)備數(shù)量的十倍以上。這些賬號分布在不同的設(shè)備和應(yīng)用中,類型復雜,狀態(tài)不一,僅憑人工管理無法掌握其全貌。
2.風險識別難
由于無法掌握特權(quán)賬號的全貌,企業(yè)難以對賬號風險情況進行分析,實施針對性的治理和防護。這導致了未改密賬號、弱密碼賬號、幽靈賬號、僵尸賬號等風險賬號長期存在,為黑客提供了突破口。
3.用戶管控難
企業(yè)內(nèi)部普遍存在多個管理員使用同一個特權(quán)賬號的情況,導致企業(yè)難以將每一次特權(quán)訪問落實到人,無法實現(xiàn)精細、有效的特權(quán)賬號管控。
4.權(quán)限管理難
由于缺乏有效的管理工具,企業(yè)無法對特權(quán)賬號的訪問權(quán)限進行精準的、動態(tài)的管理。多人共用的共享特權(quán)賬號更是普遍存在權(quán)限過度開放的問題,為“內(nèi)鬼”提供了便利之門。
5.密碼修改難
由于特權(quán)賬號的分布散、數(shù)量多,如果單憑人工,企業(yè)無法按等級保護相關(guān)要求每三個月對密碼進行一次修改。另外,應(yīng)用內(nèi)嵌賬號、中間件賬號等擁有特殊屬性的特權(quán)賬號,修改密碼一般需要安排獨立變更窗口,甚至需要專門配置開發(fā)人員支持,這導致很多企業(yè)難以推動內(nèi)嵌賬號定期改密,讓內(nèi)嵌賬號成為了安全防線的盲點。
6.安全審計難
由于缺乏統(tǒng)一的特權(quán)賬號管理平臺,企業(yè)無法實現(xiàn)對特權(quán)訪問的全面監(jiān)控和審計,很多惡意行為可能長期存在且不被發(fā)現(xiàn)。一旦發(fā)生安全事件,管理員無法迅速追溯風險行為,取證定責難。
芯盾時代特權(quán)賬號管理系統(tǒng)(PAM)
針對企業(yè)的特權(quán)賬號管理難題,芯盾時代基于零信任理念,結(jié)合豐富的身份安全建設(shè)經(jīng)驗,推出了特權(quán)賬號管理系統(tǒng)(PAM),為企業(yè)建立特權(quán)賬號全生命周期管理體系,幫助企業(yè)發(fā)現(xiàn)特權(quán)賬號、管理特權(quán)用戶、識別賬號風險、全局定期改密、完善安全審計,全面提升對特權(quán)賬號的管理能力。
1.賬號梳理
借助芯盾時代PAM,企業(yè)能夠自動發(fā)現(xiàn)業(yè)務(wù)應(yīng)用、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、數(shù)據(jù)庫以及存儲設(shè)備的特權(quán)賬號,并梳理所有特權(quán)賬號的賬號使用方、訪問權(quán)限、風險信息,最終形成內(nèi)容全面、分類清晰的特權(quán)賬號清單,讓企業(yè)摸清特權(quán)賬號現(xiàn)狀,為特權(quán)賬號的規(guī)范管理提供數(shù)據(jù)支撐。
2.風險識別
基于對特權(quán)賬號的梳理和分析結(jié)果,企業(yè)能夠識別弱密碼賬號、僵尸賬號、幽靈賬號、長期未改密賬號等風險賬號,形成可視化的特權(quán)賬號管理看板,便于管理員掌握賬號風險情,及時采取應(yīng)對措施。
3.用戶管理
憑借領(lǐng)先的身份安全產(chǎn)品能力,芯盾時代能夠為每個管理員創(chuàng)建唯一的可信身份。管理員登錄自己的賬號后,再使用權(quán)限內(nèi)的特權(quán)賬號進行特權(quán)訪問。通過將每一個特權(quán)賬號與管理員的身份信息相關(guān)聯(lián),企業(yè)能通過對管理員個人的增強身份認證,保證共享特權(quán)賬號的安全性,還能提升對共享特權(quán)賬號的管控和追溯能力,消除安全盲點。
4.權(quán)限管理
芯盾時代PAM按照零信任的“最小化授權(quán)”原則,對特權(quán)賬號的訪問權(quán)限進行精細的、動態(tài)的管控。企業(yè)能夠自主制定特權(quán)賬號的訪問控制策略,基于身份、時間、IP、行為等因素動態(tài)調(diào)整特權(quán)賬號的訪問權(quán)限,針對風險訪問自適應(yīng)執(zhí)行阻斷、二次認證等策略,提升特權(quán)訪問的安全性。
5.密碼管理
芯盾時代PAM提供了密碼集中管理功能,企業(yè)能夠?qū)崿F(xiàn)自定義設(shè)置密碼安全策略、一站式定期密碼修改等功能,使得特權(quán)賬號的密碼滿足高復雜度、一機一密、定期修改等要求,實現(xiàn)自動、集中、定期修改特權(quán)賬號密碼。對于內(nèi)嵌賬號,芯盾時代PAM通過提供接口或開發(fā)SDK的方式,使應(yīng)用系統(tǒng)動態(tài)從PAM中獲取賬號密碼,既解決了內(nèi)嵌賬號的定期改密難題,又消除了因賬號密碼明文存儲導致的安全風險。
為了保證特權(quán)賬號的安全,芯盾時代PAM提供“密碼保險箱”功能,采用國密算法對所有賬號密碼進行加密存儲,既強化了特權(quán)賬號安全,也滿足了合規(guī)要求。
6.安全審計
芯盾時代PAM提供完備的日志功能,完整記錄特權(quán)訪問的全過程。通過審計日志,管理員能夠直觀的看到哪個人登錄了哪個特權(quán)賬號,在哪個時間段進行了哪些操作,從而對每一次特權(quán)訪問進行追蹤溯源,實現(xiàn)對特權(quán)訪問的閉環(huán)管理。
有了芯盾時代特權(quán)賬戶管理系統(tǒng)(PAM),企業(yè)能夠保管好IT資產(chǎn)和數(shù)據(jù)資源的“鑰匙”,防住“內(nèi)鬼”,擋住黑客,讓企業(yè)的數(shù)字化業(yè)務(wù)更加安全~
審核編輯:劉清
-
數(shù)據(jù)庫
+關(guān)注
關(guān)注
7文章
3712瀏覽量
64025 -
PAM
+關(guān)注
關(guān)注
2文章
52瀏覽量
13243 -
芯盾時代
+關(guān)注
關(guān)注
0文章
180瀏覽量
1784
原文標題:特權(quán)賬號管理的那些坑,芯盾時代PAM幫你踩平!
文章出處:【微信號:trusfort,微信公眾號:芯盾時代】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論