一文讲清楚为什么有了堡垒机还需要特权账号管理

2023-05-29 10:35
324

解决数据中心运维安全问题,国内主流产品是堡垒机,外国则有特权账号管理。但两者不是一回事,解决的根本问题也存在差异。回到具体的应用场景去看:堡垒机中虽然有账号密码,但堡垒机不能保证账号密码的正确;堡垒机也不能保证资产时时刻刻都能正常访问;堡垒机更不能保证账号的安全性。所以,特权账号管理近些年开始在国内兴起,成为堡垒机之外很重要的身份与访问安全产品解决方案。

哲学家苏格拉底说:问题是接生婆,它能帮助新思想的诞生。

哲学家波普尔说:科学知识的增长永远始于问题,终于问题。

在信息安全领域,我们可以这么认为:问题是接生婆,它能帮助新产品的诞生;产品能力的增长永远始于问题,终于问题。

秩简科技是国内专业的特权访问管理新秀,其创始团队作为特权访问管理领域的资深专家,不仅在特权访问管理源起的国外企业深耕产品多年具备了丰富的产品设计经验,又在国内身份与安全访问领域头部企业负责特权账号产品的市场化,通过直接深入到客户具体应用场景中,针对特权账号的管理问题和难题各个击破,积累了足够的产品实践经验,是真正懂客户需求的创新企业。

一、堡垒机和特权账号管理是身份与访问安全的两套方法论

在漫长的国内身份与安全访问市场,堡垒机一直占据着不可撼动的重要地位,直到随着业务量数据量的剧增,金融等行业开始出现大量访问带来的亟待解决的问题,堡垒机无计可施,单一的产品生态格局面临重新审视。这时候,不断细化的分工也让客户管理遇到了新的挑战,我们知道,数据中心运维工作,连接着两端,一端是人,一端是资产,两者之间形成一个通道。

l   运维部门,只关心业务,不关心安全,只要人到资产的访问通道正常,至于人去哪里则不关心。

l   安全部门,既关心业务,也关心安全。账号作为打通人与资产的登陆凭证,是开启通道的钥匙。

于是问题来了:

l   保证账号安全的第一步,需要知道数据中心海量账号到底有多少,它们在哪里?

l   海量账号风险性,其中有多少弱密码、僵尸、幽灵等风险账号;

l   如何通过定期修改账号密码保障账号安全性?

如果把账号比喻成钥匙,问题则更好描述:

l   一共有多少把钥匙?

l   这些钥匙平时都被谁掌握着?

l   这些钥匙是否都安全?

l   怎么保证钥匙和临时使用它的人实现掌控权彻底分离?

二、新品取代堡垒机去解决客户业务发展带来的新问题

1、立项,需要新品解决问题

作为客户至关重要的战略资源,账号的管理核心在于:运维人员和账号密码分离,即钥匙的掌控权要从人身上剥离出来。起初,客户希望通过定制化开发,对堡垒机进行功能叠加来解决这个问题。理论上,所有产品都可以不断进行功能叠加,但如果不区分边界会导致产品稳定性问题(任何一个功能异常会导致影响面巨大),性能问题,后期维护问题,安全问题等等。

那么,边界在哪里?仔细分析就会知道:

--堡垒机专注于运维操作审计,它虽然有账号密码,但密码是否正确它无法保障;也不能保证资产时刻能正常访问;更不能保证账号的安全性;

--账号管理的问题实际上是账号密码的安全问题,客户需要清楚自己:有多少门,手里有多少把钥匙,每把钥匙跟每扇门能不能对应上,门安不安全……

--二者使命迥异,边界亦悬殊,前者解决“路”的问题,本质上是访问网关,后者则解决“门”和“钥匙”的问题。

于是,如何解决这个问题,成为专注运维安全管理的企业的全新课题。首先,超出堡垒机功能以外的事情就变成了一个突破口,特权访问管理或者特权账号管理类的产品在国外已经取得了不错的市场应用,如何匹配国内客户的特定需求,设计出本土化的产品以解决问题,就成为必然。

三、打造产品的本质即逐一解决客户问题

解决一个又一个问题的过程,就是产品逐渐成型和完善的过程。清楚的了解客户特权账号管理方面的需求,如让产品帮助客户了解自己有多少钥匙,这些钥匙都在哪里,这些钥匙的安全性如何,又将如何保存。

1)   解决产品兼容性的问题

n   不同客户,考虑到不同的资产类型,首先就要满足兼容性问题,Linux,AIX, HPUX,Windows

n   覆盖多种数据库类型:oracle, sqlserver , mysql

2)   解决客户的应用改密问题

n   面对需要REDIS的客户,想办法解决

n   更多客户的更多需求,作成全插件模式予以解决

n   需要产品经理补充举例

3)   解决账号密码的安全问题

n   账号密码安全是解决钥匙与人的权限剥离问题

n   客户账号密码保管在哪里才安全的问题得到解决

4)   功能进化解决更多问题

n   某地产巨头客户让产品与其业务制度流程融合,催生密码工单功能,让改密申请与自动回收形成流程,解决账号密码安全性问题;

n   通过和客户资产上线流程配合,服务器上线立即触发改密,即通过API接口实现账号的全流程管理;

n   从只托管主机账号密码, 到数据库、中间件等应用账号也必须托管,运维人员手里彻底告别密码,人的风险问题得到解决;

四、特权账号管理应该有新的定位

1、定义产品——堡垒机是通道,特权账号是钥匙

特权账号管理不是堡垒机的功能叠加,它是安全部门存在的关键价值体现。运维部门通过堡垒机来打通人和资产的通道,保持道路通畅。安全部门则需要特权账号管理产品,钥匙的安全性,不出问题。两者组合在一起,形成一套解决方案帮助客户解决运维安全问题。

2、环顾市场,秩简科技的创新点始终围绕让客户更满意

放眼全球,目前的市场格局看,专业的特权账号管理厂商名气最大的非起步于安全的特权账号管理厂商CyberArk莫属,作为一家国际公司,虽然已经拥有成熟的产品和实践经验,但无论从价格还是从产品的本土化适配性方面,目前都不能作为国内客户的首选供应商 。秩简科技遵循解决问题的思路,其产品更能够按照情势做出合理调整,更注重以人为本,因地制宜、因时制宜和因事制宜。最大程度不影响大多数人的正常工作,于幕后做无感知的管理工作,比如账号发现,账号巡检。管理线和业务线松耦合,能最大程度上减少对人的影响的同时提升账号安全性。另外,产品采用国密算法加密敏感信息,支持硬件加密、遵守《密码法》、以及各项国内政策要求,本地专业团队及时响应,更适用于国内高端客户的业务场景需求。

展望未来, 我们很相信,有堡垒机的地方,也会用到特权账号管理产品,因为有通道的地方,需要安全的钥匙来打开一扇扇门。


昵称:
内容:
验证码:
提交评论
评论一下