迪瞰下一代運(yùn)維安全管理系統(tǒng)
基于特權(quán)賬號管理PAM技術(shù)的創(chuàng)新
運(yùn)維安全管理的挑戰(zhàn):
-
動態(tài)授權(quán),簡化策略配置的挑戰(zhàn):
隨著數(shù)據(jù)中心的規(guī)模擴(kuò)大,運(yùn)維人員增多,運(yùn)維操作行為更為頻繁,加之運(yùn)維過程中可能會有眾多外包人員且分散不同項(xiàng)目團(tuán)隊(duì),導(dǎo)致運(yùn)維會話并發(fā)高,且訪問控制權(quán)限配置工作量巨大。需要運(yùn)維安全平臺基于用戶(及屬性)、資產(chǎn)(及屬性)、系統(tǒng)帳號、登錄規(guī)則等實(shí)現(xiàn)集中可定制的,動態(tài)實(shí)時(shí)的授權(quán),大大減少管理員的配置工作量,同時(shí)有效規(guī)避非授權(quán)訪問帶來的問題。
-
高可靠的部署模式的挑戰(zhàn):
隨著“兩地三中心”的災(zāi)備模式的快速發(fā)展,傳統(tǒng)的各中心獨(dú)立運(yùn)維模型已不再適用,多中心跨域運(yùn)維,且互為災(zāi)備的需求明確,多元部署需求凸顯。需要運(yùn)維安全平臺支持多活集群部署,支持自身負(fù)載均衡機(jī)制集群部署,提供高性能并發(fā)能力,支持性能平滑擴(kuò)容,滿足客戶的高并發(fā)和高可用性要求;支持多數(shù)據(jù)中心跨域分布部署,支持集中管理,解決多數(shù)據(jù)中心分散管理的難題。
-
大規(guī)模資產(chǎn)安全管理的挑戰(zhàn):
數(shù)據(jù)中心規(guī)模越來越大, IT+OT設(shè)備數(shù)量急劇增加,傳統(tǒng)的資產(chǎn)管理方式已經(jīng)無法滿足要求。資產(chǎn)的數(shù)據(jù)同步、資產(chǎn)可視化管理需求開始凸顯。
-
特權(quán)賬號安全的挑戰(zhàn):
特權(quán)賬號PAM安全管理平臺,集成了CMDB資產(chǎn)導(dǎo)入,工單系統(tǒng),支持多種賬戶源,豐富的認(rèn)證協(xié)議支持; 可以納管所有特權(quán)賬號,實(shí)現(xiàn)最小化權(quán)限,操作行為細(xì)粒度授權(quán)管控; 在集中式加密存儲庫中自動記錄和存儲特權(quán)會話,通過視頻播放優(yōu)先審核錄制和活動會話,簡化對最可疑活動的審核。 基于風(fēng)險(xiǎn)的憑據(jù)保護(hù)和會話管理將防止和減輕涉及特權(quán)訪問的攻擊 。
-
賬戶密碼密鑰安全管理的挑戰(zhàn):
通過使用具備國密或FIPS認(rèn)證資質(zhì)的密碼機(jī)、中央策略管理器CPM配置自定義密鑰輪轉(zhuǎn)策略、基于PVWA訪問控制門戶管理身份和權(quán)限、基于特權(quán)會話管理器PSM使用運(yùn)維操作和審計(jì)錄像,滿足相應(yīng)的監(jiān)管與合規(guī)要求。 支持將密鑰的使用日志輸出,進(jìn)一步和SIEM解決方案進(jìn)行集成獲得額外的分析和威脅檢測能力。
建?運(yùn)維安全管理的目標(biāo):
下一代運(yùn)維安全管理平臺架構(gòu):
下一代運(yùn)維安全平臺組件及功能:
下一代運(yùn)維安全平臺解決方案
以特權(quán)賬號管理為核心,集成IAM,CMDB,工單,威脅情報(bào),漏洞掃描,SIEM,搭建一個(gè)安全
可視,自動智能的運(yùn)維平臺
為什么以特權(quán)賬號管理為核心?
- 最嚴(yán)重的數(shù)據(jù)安全事件,無可避免地源于特權(quán)憑證(通常是那些用于管理的登錄憑證)落入黑客之手。黑客會通過社會工程、網(wǎng)絡(luò)釣魚或暴力破解,來染指相對無害的用戶憑證,然后用提權(quán)技術(shù)和橫向移動來獲取超級用戶權(quán)限。
- 身份及訪問管理(IAM)的基石之一,是特權(quán)賬戶管理(PAM)。IAM考慮的是確保正確的人能有恰當(dāng)?shù)臋?quán)限,在正確的時(shí)間,以恰當(dāng)?shù)姆绞剑L問該訪問的系統(tǒng),且所有牽涉其中的人都認(rèn)為該訪問是正確的。PAM則是將這些原則和操作,簡單應(yīng)用到“超級用戶”賬戶和管理憑證上。此類憑證的例子包括:Unix和Linux系統(tǒng)的root賬戶、活動目錄(AD)的Admin賬戶、業(yè)務(wù)關(guān)鍵數(shù)據(jù)庫的DBA賬戶,以及IT運(yùn)營所需的大量服務(wù)賬戶。
- 業(yè)內(nèi)人士普遍認(rèn)為,PAM可能是減小數(shù)據(jù)泄露風(fēng)險(xiǎn)和最小化數(shù)據(jù)泄露影響的頂級操作。PAM的主要原則有:杜絕特權(quán)憑證共享、為特權(quán)使用賦以個(gè)人責(zé)任、為日常管理實(shí)現(xiàn)最小權(quán)限訪問模型、對這些憑證執(zhí)行的活動實(shí)現(xiàn)審計(jì)功能。
- One Identity 最近對900多位IT安全人士做了調(diào)查,發(fā)現(xiàn)了關(guān)于該重要防護(hù)操作的一些令人警醒的數(shù)據(jù)。太多公司使用的是很原始的工具和實(shí)踐來保護(hù)并管理特權(quán)賬戶和管理員訪問,尤其是:
- 18%的受訪者承認(rèn)使用紙質(zhì)日志來管理特權(quán)憑證
- 36%用電子表格進(jìn)行管理
- 67%依賴2種或2種以上的工具(包括紙質(zhì)和電子表格)來支持他們的PAM項(xiàng)目
- 盡管很多公司正在嘗試管理特權(quán)賬戶(該嘗試用的只是相當(dāng)有限的工具),真正監(jiān)視這些“超級用戶”權(quán)限所執(zhí)行活動的,卻相對較少。
特權(quán)賬號管理不是堡壘機(jī):
特權(quán)賬號管理系統(tǒng) |
堡壘機(jī) |
|---|---|
| 賬號管理 | 防誤操作 |
| 風(fēng)險(xiǎn)分析 | 高危復(fù)核 |
| 賬號維護(hù) | 操作審計(jì) |
| 安全存儲 | 密碼代填 |
| 特權(quán)賬號生命周期安全管理 | 使用特權(quán)賬號維護(hù)目標(biāo)設(shè)備 |
下一代運(yùn)維安全平臺以特權(quán)賬號安全為核心技術(shù)
集成了CMDB資產(chǎn)管理系統(tǒng),工單系統(tǒng),4A安全管理 ,特權(quán)賬號管理,堡壘機(jī),威脅情報(bào)分析,UEBA用戶實(shí)體行為分析和SIEM安全事件日志分析系統(tǒng),可以在滿足實(shí)現(xiàn)運(yùn)維的簡單化,可視化,自動化,智能化要求的同時(shí),兼顧安全與效率的平衡,實(shí)現(xiàn)業(yè)務(wù)安全的統(tǒng)一目標(biāo)。
- 運(yùn)維安全平臺功能特性:
-
更多
收起
C/S架構(gòu)設(shè)計(jì),專有通信協(xié)議加密傳輸,確保終端安全性。
-
有效避免瀏覽器方式B/S保存登錄密碼的風(fēng)險(xiǎn)。
純軟件部署方式,支持集中或分布式部署,快速,簡單。
可以一體機(jī)交付的形式,與研發(fā)安全平臺結(jié)合,實(shí)現(xiàn)研發(fā),運(yùn)維安全一體化。
支持定制化項(xiàng)目需求,滿足不同行業(yè)的安全與運(yùn)維研發(fā)的需求。
具備高可用架構(gòu)設(shè)計(jì),確保系統(tǒng)容錯(cuò)安全。
- 滿足運(yùn)維安全管理的要求:
-
更多
收起
支持與CMDB,運(yùn)維監(jiān)控系統(tǒng)的集成
-
支持工單審批與第三方系統(tǒng)的定制和集成。
系統(tǒng)運(yùn)維需要的各種運(yùn)維工具(B/S,C/S)及網(wǎng)絡(luò)協(xié)議能夠做到100%支持,無需定制化開發(fā),用戶可以隨時(shí)自行添加。
系統(tǒng)運(yùn)維管理的基礎(chǔ)架構(gòu)目標(biāo)設(shè)備(包括但不限于OS,DB,網(wǎng)絡(luò)設(shè)備,安全設(shè)備,存儲設(shè)備,公有云,私有云)能夠100%做到連接支持,密碼代填。
賬號口令集中管理,支持批量按需自動或手動修改密碼,滿足相關(guān)法規(guī)需求。
高危命令阻斷功能:支持針對 SSH/Telnet/FTP 等字符集方式的命令阻斷,支持模糊和精確兩種方式命令阻斷;支持黑白名單方式:針對指定用戶、設(shè)備、系統(tǒng)賬號部署特定的命令控制。
