有了堡垒机
用户为什么还需要特权账号管理?
• 都是权限管理,堡垒机和特权账号管理有什么不同? P8
• 发现账号&批量改密,特权账号绝不是堡垒机2.0 P16
群 | 策 | 群 | 力 相 | 融 | 共 | 生
7.20
2022
目录 | contents
第07期 | 02
目录 | contents
CONTENTS
目录
04 有了堡垒机,用户为什么还需要
特权账号管理?
08 都是权限管理,堡垒机和特权
账号管理有什么不同?
已经几乎成为数据中心标配的堡垒机具有身份认证、授权、访问控制及审计等众多功能,其中也会涉及到账号管理功能。那对于用户来说,有了堡垒机,为什么还需要专门的特权账号管理系统呢?比照一下,看看你是否需要从堡垒机进阶,用特权账号管理系统实现账号的完整、细粒度管理。
对于用户来说,同样都是数据中心安全管理的权限管控,堡垒机和特权账号管理,有什么不同,又有哪些交集呢?
12 真正的特权账号管理来自客户
真实需求
继堡垒机之后,齐治再次从国内高端客户复杂业务场景的内生需求中得到启发,自主研发出本土化的特权账号管理产品。
16 发现账号&批量改密,特权账号
绝不是堡垒机2.0
齐治特权账号管理系统PAM,不是堡垒机的升级,更不是堡垒机的衍生品,它是客户新环境下实实在在诞生的新需求。
有了堡垒机用户为什么还需要特权账号管理
第07期 | 04
有了堡垒机用户为什么还需要特权账号管理
场景二,另一个银行数据中心,100多页的改密计划,加起来上千条,有的执行一次,有的按周期执行,有时候运维工程师急需找管理员要密码,管理员就去密密麻麻的密码excel文件中找……
很显然,对于运维人员来说,堡垒机是一个访问网关,只要能保证访问通道畅通,完成访问控制和审计功能就可以;而对于安全部门来说,除了要保证访问通道的正常运行以外,还必须控制通道的两端:谁,有什么权限,访问什么资产。因此,大量和两端有关的需求被提了出来:身份安全、资产安全、弱口令、权限合规等等。
已经几乎成为数据中心标配的堡垒机具有身份认证、授权、访问控制及审计等众多功能,其中也会涉及到账号管理功能。那对于用户来说,有了堡垒机,为什么还需要专门的特权账号管理系统呢?比照一下,看看你是否需要从堡垒机进阶,用特权账号管理系统实现账号的完整、细粒度管理。
有了堡垒机 用户为什么还需要特权账号管理?
从场景看需求
场景一,某银行数据中心管理员正常工作中,几乎每隔几分钟都会有人找他,问他为什么登录不了设备。他放下手里的工作,去堡垒机里做登录测试。如果不能登录,他就会做几件事情:ping一下机器,看能不能通;通了之后再去看端口通不通,手工去后台登录下看账号密码对不对,以上工作一天至少重复几十次。有趣的是,账号密码问题占据了大多数。
有了堡垒机用户为什么还需要特权账号管理
第07期 | 06
有了堡垒机用户为什么还需要特权账号管理
特权账号管理保证账号安全
为了保证账号台账数据的完整性和准确性,需要进行账号的自动发现巡检,同时对账号数据进行收集,并对账号自身的安全性进行风险分析。为了保障密码的安全性,需要对密码进行定期修改并备份。账号台账实现统一纳管之后,还要对外提供密码查询接口来保障正常业务。
可以说,如果用户仅仅关心是否能正常访问设备,并进行事后审计,堡垒机是最佳选择。而如果用户进一步关心,访问数据中心的账号都是谁,是否“合法”,该分配什么权限,密码安全与否,那就应该选择特权账号管理系统。
齐治科技特权账号管理PAM完全自主研发,采用国密算法,支持硬件加密,通过发现、巡检、改密、备份四大核心功能,保障数据中心的账户安全经过500+客户、超过6年验证,在21万+账号管理场景中使用,安全、高效解决用户对特权账号管理的痛点问题。
所以必须有专业的产品来解决纵向的问题。特权账号管理系统集中管理所有数据中心账号密码,账号台账就是这个系统中最关键的数据。为了保证账号台账数据的完整性、安全性、准确性、高可用性,特权账号管理系统拥有了发现巡检、风险分析、改密备份、密码接口等功能。
回到场景中去看,堡垒机连接了所有人和资产,虽然有账号密码,但不能保证账号密码的正确。同时,堡垒机也不能保证资产时时刻刻都能正常访问,更不能保证账号的安全性。
有了堡垒机用户为什么还需要特权账号管理
第07期 | 08
有了堡垒机用户为什么还需要特权账号管理
堡垒机是访问控制审计系统,核心功能是对访问者进行控制和审计。通过身份认证、授权、访问控制和审计这四大基础功能,对数据中心内部的“访问者”进行规范管理,避免“猪队友”。
为了对经过流量进行授权(授权的五大要素:When、Who、Where、What、How),需要主账号(访问堡垒机)和从账号(访问目标设备),并且有效识别主账号和自然人的身份关系,这就产生了身份认证的需求。用户或者“访问者”进行了身份认证,申请了有效授权,就可以对目标设备进行登录访问。
特权账号管理系统是一个集中管理所有数据中心账号密码的系统,账号台账就是这个系统中最关键的数据,也是特权账号管理系统管理的对象。为了保证账号台账数据的完整性、安全性、准确性、高可用性,特权账号管理系统拥有了发现巡检、风险分析、改密备份、密码接口等功能。
为了保证账号台账数据的完整性和准确性,需要进行账号的自动发现巡检,同时对账号数据进行收集;通过账号数据对账号自身的安全性进行风险分析,对密码进行定期修改并备份,进一步保障密码的安全性。这样,账号台账实现统一纳管之后,对外提供密码查询接口来保障正常业务。
已经几乎成为数据中心标配的堡垒机具有身份认证、授权、访问控制及审计等众多功能,其中也会涉及到账号管理功能。那对于用户来说,同样都是数据中心安全管理的权限管控,堡垒机和特权账号管理,有什么不同,又有哪些交集呢?
都是权限管理
堡垒机和特权账号管理有什么不同?
堡垒机控制人的权限
特权账号管理控制账号的权限
堡垒机和特权账号管理的交集
毫无疑问,堡垒机和特权账号管理是有交集的。这体现在如下两个方面。
一是配置数据的交集:资产 账号 密码
有了堡垒机用户为什么还需要特权账号管理
第07期 | 10
有了堡垒机用户为什么还需要特权账号管理
而反观特权账号管理,就是为了解决账号密码资源集中管理问题的,因此,如何保障账号台账的完整性、可靠性、安全性是最重要的问题。在这点上,堡垒机无需再关心账号密码的安全性,只需要使用账号资源时来特权账号管理系统中获取即可。
这时候,问题就来了,堡垒机和特权账号管理既然有交集,那就存在配置重叠的问题——如果分别配置,不只是增加一倍工作量,还容易产生逻辑错误让系统不知所措。齐治科技如何两者之间的统一配置问题呢?我们通过堡垒机和特权账号管理内部的解藕和同步机制,帮助用户“一次性”完成配置,无需额外增加工作量,既保证数据一致性,又提高了管理效率,用技术手段实现一举两得。
堡垒机中的授权功能模块需要明确的用户、资产、账号信息,访问功能模块需要资产、账号、密码信息才能完成单点登录,所以用户必须在堡垒机中配置资产、账号以及密码才能保证核心功能逻辑正常。
在特权账号管理系统中,账号不会独立存在,必须依赖资产,而密码又是账号安全最为关键的一环,因此,特权账号管理系统内也必须配置资产、账号以及密码信息。
二是改密功能的交集
堡垒机授权功能需要配置资产、账号、密码,而账号密码一旦被系统托管,就必须保证其安全性,最有效的措施就是定期修改密码,所以堡垒机就有了自动改密的功能。
特权账号管理系统的核心就是保证账号的安全性,所以改密功能不但要求稳定可靠,还要求兼容扩展性和高效。
今天,堡垒机帮助用户解决操作审计问题的核心功能模型没有改变,解决访问控制问题,占据数据中心运维入口,是运维网关的位置没有改变。但是,从功能上看,堡垒机面临更多的是与各管理平台进行资源对接,比如更多的开放API,与其他信息系统进行集成来稳固运维网关的位置。
有了堡垒机用户为什么还需要特权账号管理
第07期 | 12
有了堡垒机用户为什么还需要特权账号管理
时光飞驰,瞬息多变。2016年,随着该银行业务的发展,纳管资产不断增加,系统访问量大增让棘手问题逐渐暴露。客户不断提需求,我们做定制化满足,客户提更多需求,我们继续更多满足——直到出现超出堡垒机使命的新需求,比如,海量账号自动发现,目标资产的账号改密,规避运维人员拿到账号密码后的外泄风险等。
齐治特权账号管理产品的诞生,是客户需求内生的结果。
国内某大型股份制商业银行,数据中心资产规模达上万台,2011年开始部署齐治堡垒机。此后五年间,堡垒机被不断深化使用,最终成为其生产环境的“一类系统”,纳管了主数据中心、同城双活数据中心、异地灾备数据中心内的数万台资产,承载数千人的日常运营。齐治堡垒机在复杂环境下持续数年稳定运行,客户意料之外,我们意料之中。
继堡垒机之后,齐治再次从国内高端客户复杂业务场景的内生需求中得到启发,自主研发出本土化的特权账号管理产品。
真正的特权账号管理来自客户真实需求
厘清边界后的破与立
需求内生下的新使命
堡垒机专注于运维操作审计,它虽然有账号密码,却不能保证账号密码的正确,不能保证资产时刻能正常访问,更不能保证账号的安全性。新的账号管理内生需求直击账号密码的安全问题。堡垒机与账号管理二者使命迥异,边界亦悬殊。前者解决的是“路”的问题,本质上是访问网关,后者解决的是“门”和“钥匙”的问题。
客户依然寄希望于在堡垒机上加定制项来满足账号管理需求。
有了堡垒机用户为什么还需要特权账号管理
第07期 | 14
有了堡垒机用户为什么还需要特权账号管理
市场上提到特权账号管理,言必称Gartner和国际品牌CyberArk。不可否认,前者的研究、后者的产品都具有相当成熟度。但我们仍要强调:齐治依托客户业务内生需求,完全自主研发适配本土化业务场景的特权账号安全管理产品,是堡垒机之后的另一国产化创新,最为贴合当下国内大多数用户现状。
齐治自主研发的特权账号管理产品,最大程度不影响运维人员的正常工作。另外,产品采用国密算法加密敏感信息,支持硬件加密,遵守《密码法》以及国内各项政策要求,本地专业团队及时响应,是国内客户的必然选择。
需求不是空穴来风,它永远来自于客户真实的业务场景,而这也是齐治产品创造和创新的源泉。所以我们一直在做的,就只有一件事:持续创新,为客户解决复杂问题。
态度:为客户解决复杂问题
理论上,所有产品都可以不断叠加功能,但不区分边界就会带来产品的不稳定(任何一个功能异常会导致影响面巨大)、性能问题、后期维护问题、安全问题等等。就像洗衣机解决洗衣问题,空调解决冷暖问题,冰箱解决食物的保鲜和存储问题,需求各有专攻,功能深度匹配。强大的产品并不是持续叠加功能来满足客户所有需求,而应把自身使命发挥到极致。
即,我们必须承认:堡垒机不是万能的,要有一款全新产品来解决账号管理这一新的内生需求。这款产品的价值在于,实现全资产类型改密支持、动态改密计划制订以及资产账号的全面清点与纳管,也就是客户需要清楚自己:有多少门,手里有多少把钥匙,钥匙跟门能不能对应上,门是否安全……
解决客户复杂问题,一直是齐治存在的意义。面对这个需求,齐治继续深入场景调研,踏上特权账号管理的产品研发之路。不断的打磨和验证,齐治特权账号管理产品实现了账号发现、账号巡检、改密计划、密码备份等核心功能。齐治渴望以开放的态度拥抱复杂需求——因为客户业务场景越复杂,需求越苛刻,越能催生产品的极致进化。
有了堡垒机用户为什么还需要特权账号管理
第07期 | 16
有了堡垒机用户为什么还需要特权账号管理
•中间件数据源、运维自动化工具/应用的配置文件、运维脚本中长期存放着无法改密的目标资产的账号密码,容易被恶意利用且不合规,能否帮我们解决?
•特殊场景下,运维人员需要拿到资产账号密码,但又存在账号密码外泄风险,能否想办法规避?
《真正的特权账号管理来自客户真实需求》一文中提到,2011年国内某大型股份制商业银行开始部署齐治堡垒机。此后五年间,堡垒机被不断深化使用,直到2016年,客户数据中心访问量大增引发棘手问题。客户希望以继续增加堡垒机功能、继续进行定制化开发的形式解决问题,但不断内生的新需求超出堡垒机使命:
•海量账号中,依靠人工难以识别,存在较大安全隐患,能否帮我们自动发现并处理这些风险?
继堡垒机之后,齐治再次从国内高端客户复杂业务场景的内生需求中得到启发,自主研发出本土化的特权账号安全管理产品PAM。齐治特权账号管理产品PAM,不是堡垒机的升级,更不是堡垒机的衍生品,它是客户新环境下实实在在诞生的新需求。
发现账号&批量改密
特权账号绝不是堡垒机2.0
那些不该堡垒机管的事儿
发展诞生需求
堡垒机专注于运维操作审计,它虽然有账号密码,却不能保证账号密码的正确,不能保证资产时刻能正常访问,更不能保证账号的安全性,新的账号管理内生需求直击账号密码的安全问题。一句话,堡垒机并非万能,它有它的使命。想要解决账号管理这一新的内生需求,实现全资产类型改密支持、动态改密计划制订和资产账号的全面清点与纳管,需要倚靠一款专业的特权账号管理产品来实现。面对这个需求,齐治继续深入开展场景调研,得到实况还原:
1. 每个季度,安全管理人员需要对数据中心内的数百台数据库、中间件资产中的登录账号密码按批次进行人工修改,改后结果手动录入到堡垒机中;
有了堡垒机用户为什么还需要特权账号管理
第07期 | 18
有了堡垒机用户为什么还需要特权账号管理
那些靠特权账号做到的事儿
客户业务场景愈加复杂,需求愈加苛刻,横亘眼前的事情变得异常清晰,需要一款全新产品来解决新业务场景下的新需求。齐治踏上新品研发之路,通过对复杂问题逐一拆解,通过设计各项功能逐一做需求匹配,于是:
•从前,大量账号的发现梳理纯靠人工,全面性、准确性和效率均无法保证,现在靠自动化,问题得到解决;
•从前,大量账号不可用,使用时才能发现问题,现在定期巡检,发现问题马上解决;
•从前,海量账号的改密需要一个月甚至更长时间,现在一天之内就能解决;
•从前,账号密码的申请需要找管理员,现在走工单申请,用完自动回收修改,安全性问题得到解决;
•从前,只托管主机账号密码,现在数据库、中间件等应用账号也必须托管,运维人员手里彻底告别密码,人的风险问题得到解决;
•通过和客户资产上线流程配合,服务器上线立即触发改密,即通过API接口实现账号的全流程管理;
• ……
齐治完全自主研发的特权账号管理产品PAM,实现管理线和业务线轻松耦合,最大程度上减少对人的影响,并同时提升账号安全性。PAM和堡垒机搭配使用,帮助数据中心实现安全管理。
2. 每个月度,安全管理人员通过人工方式到目标资产上获取账号信息,并与堡垒机中已托管账号进行比对,梳理出未托管的账号清单,次周提交给运维部门处理(清理或者录入堡垒机),再过一周再次进行人工账号复核;
3. 每个日夜,安全管理人员需要为运维部门新移交的2000多台资产,逐个创建改密计划并逐条查看改密结果,期间无休息。
日复一日的账号安全管理工作,严重透支了安全管理人员的精力,苦不堪言。
♙ 投稿邮箱 ♙
branding@shterm.com
♙ 联系电话 ♙
400-880-2393
♙ 公司地址 ♙
杭州市西湖区文一西路588号
西溪首座A6
♙ 公司网址 ♙
www.qzsec.com
增值电信业务经营许可证:陕B2-20210327 | 
陕公网安备 61102302611033号