如果你是一家公司的老板，忽然發(fā)現(xiàn)公司保險(xiǎn)箱的鑰匙被人偷了，你會(huì)不會(huì)有點(diǎn)慌？

當(dāng)然，如果你真的是老板，真的有個(gè)保險(xiǎn)箱，保險(xiǎn)箱又有真的有一把鑰匙，那么這把鑰匙一定會(huì)被妥善保管，比如把它放到另一個(gè)保險(xiǎn)箱里……

但是在數(shù)字世界里，企業(yè)IT資產(chǎn)和數(shù)據(jù)資源的“鑰匙”——特權(quán)賬號(hào)，卻遠(yuǎn)沒有這樣的待遇。它們要么得不到妥善管理，被“內(nèi)鬼”用來挖公司墻角，比如某微信營(yíng)銷服務(wù)商被運(yùn)維人員利用特權(quán)賬號(hào)“刪庫(kù)”，導(dǎo)致市值蒸發(fā)超10億，300萬(wàn)用戶的小程序宕機(jī)；要么被黑客視為頭號(hào)目標(biāo)，拿到手后搞個(gè)大新聞，比如拉斯維加斯市因特權(quán)賬號(hào)（域服務(wù)器賬號(hào)）被盜，導(dǎo)致多項(xiàng)市政服務(wù)中斷，還泄露了1.169TB的敏感數(shù)據(jù)。

如此重要的特權(quán)賬號(hào)，企業(yè)為什么不好好管理？其實(shí)，這還真不全是企業(yè)的錯(cuò)~

特權(quán)賬號(hào)怎么管？企業(yè)真的很為難！

特權(quán)賬號(hào)，是指數(shù)據(jù)中心內(nèi)部，分布在主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)等資產(chǎn)上具有較高訪問權(quán)限的賬號(hào)，衍生到一切資產(chǎn)上具有可訪問權(quán)限的賬號(hào)。按照Gartner的分類，特權(quán)賬號(hào)分為人員特權(quán)賬號(hào)和軟件特權(quán)賬號(hào)，其中人員特權(quán)賬號(hào)又分為個(gè)人特權(quán)賬號(hào)、系統(tǒng)定義的共享特權(quán)賬號(hào)和企業(yè)定義的共享特權(quán)賬號(hào)3種。

通過定義和分類，不難看出特權(quán)賬號(hào)的特點(diǎn)——分布散，種類雜，數(shù)量多，權(quán)限高。這直接導(dǎo)致了企業(yè)的特權(quán)賬號(hào)管理面臨六大難題：

1.賬號(hào)梳理難

數(shù)據(jù)中心中，特權(quán)賬號(hào)的數(shù)量往往是設(shè)備數(shù)量的十倍以上。這些賬號(hào)分布在不同的設(shè)備和應(yīng)用中，類型復(fù)雜，狀態(tài)不一，僅憑人工管理無(wú)法掌握其全貌。

2.風(fēng)險(xiǎn)識(shí)別難

由于無(wú)法掌握特權(quán)賬號(hào)的全貌，企業(yè)難以對(duì)賬號(hào)風(fēng)險(xiǎn)情況進(jìn)行分析，實(shí)施針對(duì)性的治理和防護(hù)。這導(dǎo)致了未改密賬號(hào)、弱密碼賬號(hào)、幽靈賬號(hào)、僵尸賬號(hào)等風(fēng)險(xiǎn)賬號(hào)長(zhǎng)期存在，為黑客提供了突破口。

3.用戶管控難

企業(yè)內(nèi)部普遍存在多個(gè)管理員使用同一個(gè)特權(quán)賬號(hào)的情況，導(dǎo)致企業(yè)難以將每一次特權(quán)訪問落實(shí)到人，無(wú)法實(shí)現(xiàn)精細(xì)、有效的特權(quán)賬號(hào)管控。

4.權(quán)限管理難

由于缺乏有效的管理工具，企業(yè)無(wú)法對(duì)特權(quán)賬號(hào)的訪問權(quán)限進(jìn)行精準(zhǔn)的、動(dòng)態(tài)的管理。多人共用的共享特權(quán)賬號(hào)更是普遍存在權(quán)限過度開放的問題，為“內(nèi)鬼”提供了便利之門。

5.密碼修改難

由于特權(quán)賬號(hào)的分布散、數(shù)量多，如果單憑人工，企業(yè)無(wú)法按等級(jí)保護(hù)相關(guān)要求每三個(gè)月對(duì)密碼進(jìn)行一次修改。另外，應(yīng)用內(nèi)嵌賬號(hào)、中間件賬號(hào)等擁有特殊屬性的特權(quán)賬號(hào)，修改密碼一般需要安排獨(dú)立變更窗口，甚至需要專門配置開發(fā)人員支持，這導(dǎo)致很多企業(yè)難以推動(dòng)內(nèi)嵌賬號(hào)定期改密，讓內(nèi)嵌賬號(hào)成為了安全防線的盲點(diǎn)。

6.安全審計(jì)難

由于缺乏統(tǒng)一的特權(quán)賬號(hào)管理平臺(tái)，企業(yè)無(wú)法實(shí)現(xiàn)對(duì)特權(quán)訪問的全面監(jiān)控和審計(jì)，很多惡意行為可能長(zhǎng)期存在且不被發(fā)現(xiàn)。一旦發(fā)生安全事件，管理員無(wú)法迅速追溯風(fēng)險(xiǎn)行為，取證定責(zé)難。

芯盾時(shí)代特權(quán)賬號(hào)管理系統(tǒng)（PAM）

針對(duì)企業(yè)的特權(quán)賬號(hào)管理難題，芯盾時(shí)代基于零信任理念，結(jié)合豐富的身份安全建設(shè)經(jīng)驗(yàn)，推出了特權(quán)賬號(hào)管理系統(tǒng)（PAM），為企業(yè)建立特權(quán)賬號(hào)全生命周期管理體系，幫助企業(yè)發(fā)現(xiàn)特權(quán)賬號(hào)、管理特權(quán)用戶、識(shí)別賬號(hào)風(fēng)險(xiǎn)、全局定期改密、完善安全審計(jì)，全面提升對(duì)特權(quán)賬號(hào)的管理能力。

1.賬號(hào)梳理

借助芯盾時(shí)代PAM，企業(yè)能夠自動(dòng)發(fā)現(xiàn)業(yè)務(wù)應(yīng)用、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、數(shù)據(jù)庫(kù)以及存儲(chǔ)設(shè)備的特權(quán)賬號(hào)，并梳理所有特權(quán)賬號(hào)的賬號(hào)使用方、訪問權(quán)限、風(fēng)險(xiǎn)信息，最終形成內(nèi)容全面、分類清晰的特權(quán)賬號(hào)清單，讓企業(yè)摸清特權(quán)賬號(hào)現(xiàn)狀，為特權(quán)賬號(hào)的規(guī)范管理提供數(shù)據(jù)支撐。

2.風(fēng)險(xiǎn)識(shí)別

基于對(duì)特權(quán)賬號(hào)的梳理和分析結(jié)果，企業(yè)能夠識(shí)別弱密碼賬號(hào)、僵尸賬號(hào)、幽靈賬號(hào)、長(zhǎng)期未改密賬號(hào)等風(fēng)險(xiǎn)賬號(hào)，形成可視化的特權(quán)賬號(hào)管理看板，便于管理員掌握賬號(hào)風(fēng)險(xiǎn)情，及時(shí)采取應(yīng)對(duì)措施。

3.用戶管理

憑借領(lǐng)先的身份安全產(chǎn)品能力，芯盾時(shí)代能夠?yàn)槊總€(gè)管理員創(chuàng)建唯一的可信身份。管理員登錄自己的賬號(hào)后，再使用權(quán)限內(nèi)的特權(quán)賬號(hào)進(jìn)行特權(quán)訪問。通過將每一個(gè)特權(quán)賬號(hào)與管理員的身份信息相關(guān)聯(lián)，企業(yè)能通過對(duì)管理員個(gè)人的增強(qiáng)身份認(rèn)證，保證共享特權(quán)賬號(hào)的安全性，還能提升對(duì)共享特權(quán)賬號(hào)的管控和追溯能力，消除安全盲點(diǎn)。

4.權(quán)限管理

芯盾時(shí)代PAM按照零信任的“最小化授權(quán)”原則，對(duì)特權(quán)賬號(hào)的訪問權(quán)限進(jìn)行精細(xì)的、動(dòng)態(tài)的管控。企業(yè)能夠自主制定特權(quán)賬號(hào)的訪問控制策略，基于身份、時(shí)間、IP、行為等因素動(dòng)態(tài)調(diào)整特權(quán)賬號(hào)的訪問權(quán)限，針對(duì)風(fēng)險(xiǎn)訪問自適應(yīng)執(zhí)行阻斷、二次認(rèn)證等策略，提升特權(quán)訪問的安全性。

5.密碼管理

芯盾時(shí)代PAM提供了密碼集中管理功能，企業(yè)能夠?qū)崿F(xiàn)自定義設(shè)置密碼安全策略、一站式定期密碼修改等功能，使得特權(quán)賬號(hào)的密碼滿足高復(fù)雜度、一機(jī)一密、定期修改等要求，實(shí)現(xiàn)自動(dòng)、集中、定期修改特權(quán)賬號(hào)密碼。對(duì)于內(nèi)嵌賬號(hào)，芯盾時(shí)代PAM通過提供接口或開發(fā)SDK的方式，使應(yīng)用系統(tǒng)動(dòng)態(tài)從PAM中獲取賬號(hào)密碼，既解決了內(nèi)嵌賬號(hào)的定期改密難題，又消除了因賬號(hào)密碼明文存儲(chǔ)導(dǎo)致的安全風(fēng)險(xiǎn)。

為了保證特權(quán)賬號(hào)的安全，芯盾時(shí)代PAM提供“密碼保險(xiǎn)箱”功能，采用國(guó)密算法對(duì)所有賬號(hào)密碼進(jìn)行加密存儲(chǔ)，既強(qiáng)化了特權(quán)賬號(hào)安全，也滿足了合規(guī)要求。

6.安全審計(jì)

芯盾時(shí)代PAM提供完備的日志功能，完整記錄特權(quán)訪問的全過程。通過審計(jì)日志，管理員能夠直觀的看到哪個(gè)人登錄了哪個(gè)特權(quán)賬號(hào)，在哪個(gè)時(shí)間段進(jìn)行了哪些操作，從而對(duì)每一次特權(quán)訪問進(jìn)行追蹤溯源，實(shí)現(xiàn)對(duì)特權(quán)訪問的閉環(huán)管理。

有了芯盾時(shí)代特權(quán)賬戶管理系統(tǒng)（PAM）,企業(yè)能夠保管好IT資產(chǎn)和數(shù)據(jù)資源的“鑰匙”，防住“內(nèi)鬼”，擋住黑客，讓企業(yè)的數(shù)字化業(yè)務(wù)更加安全~



審核編輯：劉清