迪瞰下一代运维安全管理系统
基于特权账号管理PAM技术的创新
运维安全管理的挑战:
-
动态授权,简化策略配置的挑战:
随着数据中心的规模扩大,运维人员增多,运维操作行为更为频繁,加之运维过程中可能会有众多外包人员且分散不同项目团队,导致运维会话并发高,且访问控制权限配置工作量巨大。需要运维安全平台基于用户(及属性)、资产(及属性)、系统帐号、登录规则等实现集中可定制的,动态实时的授权,大大减少管理员的配置工作量,同时有效规避非授权访问带来的问题。
-
高可靠的部署模式的挑战:
随着“两地三中心”的灾备模式的快速发展,传统的各中心独立运维模型已不再适用,多中心跨域运维,且互为灾备的需求明确,多元部署需求凸显。需要运维安全平台支持多活集群部署,支持自身负载均衡机制集群部署,提供高性能并发能力,支持性能平滑扩容,满足客户的高并发和高可用性要求;支持多数据中心跨域分布部署,支持集中管理,解决多数据中心分散管理的难题。
-
大规模资产安全管理的挑战:
数据中心规模越来越大, IT+OT设备数量急剧增加,传统的资产管理方式已经无法满足要求。资产的数据同步、资产可视化管理需求开始凸显。
-
特权账号安全的挑战:
特权账号PAM安全管理平台,集成了CMDB资产导入,工单系统,支持多种账户源,丰富的认证协议支持; 可以纳管所有特权账号,实现最小化权限,操作行为细粒度授权管控; 在集中式加密存储库中自动记录和存储特权会话,通过视频播放优先审核录制和活动会话,简化对最可疑活动的审核。 基于风险的凭据保护和会话管理将防止和减轻涉及特权访问的攻击 。
-
账户密码密钥安全管理的挑战:
通过使用具备国密或FIPS认证资质的密码机、中央策略管理器CPM配置自定义密钥轮转策略、基于PVWA访问控制门户管理身份和权限、基于特权会话管理器PSM使用运维操作和审计录像,满足相应的监管与合规要求。 支持将密钥的使用日志输出,进一步和SIEM解决方案进行集成获得额外的分析和威胁检测能力。
建⽴运维安全管理的目标:
下一代运维安全管理平台架构:
下一代运维安全平台组件及功能:
下一代运维安全平台解决方案
以特权账号管理为核心,集成IAM,CMDB,工单,威胁情报,漏洞扫描,SIEM,搭建一个安全
可视,自动智能的运维平台
为什么以特权账号管理为核心?
- 最严重的数据安全事件,无可避免地源于特权凭证(通常是那些用于管理的登录凭证)落入黑客之手。黑客会通过社会工程、网络钓鱼或暴力破解,来染指相对无害的用户凭证,然后用提权技术和横向移动来获取超级用户权限。
- 身份及访问管理(IAM)的基石之一,是特权账户管理(PAM)。IAM考虑的是确保正确的人能有恰当的权限,在正确的时间,以恰当的方式,访问该访问的系统,且所有牵涉其中的人都认为该访问是正确的。PAM则是将这些原则和操作,简单应用到“超级用户”账户和管理凭证上。此类凭证的例子包括:Unix和Linux系统的root账户、活动目录(AD)的Admin账户、业务关键数据库的DBA账户,以及IT运营所需的大量服务账户。
- 业内人士普遍认为,PAM可能是减小数据泄露风险和最小化数据泄露影响的顶级操作。PAM的主要原则有:杜绝特权凭证共享、为特权使用赋以个人责任、为日常管理实现最小权限访问模型、对这些凭证执行的活动实现审计功能。
- One Identity 最近对900多位IT安全人士做了调查,发现了关于该重要防护操作的一些令人警醒的数据。太多公司使用的是很原始的工具和实践来保护并管理特权账户和管理员访问,尤其是:
- 18%的受访者承认使用纸质日志来管理特权凭证
- 36%用电子表格进行管理
- 67%依赖2种或2种以上的工具(包括纸质和电子表格)来支持他们的PAM项目
- 尽管很多公司正在尝试管理特权账户(该尝试用的只是相当有限的工具),真正监视这些“超级用户”权限所执行活动的,却相对较少。
特权账号管理不是堡垒机:
特权账号管理系统 | 堡垒机 |
---|---|
账号管理 | 防误操作 |
风险分析 | 高危复核 |
账号维护 | 操作审计 |
安全存储 | 密码代填 |
特权账号生命周期安全管理 | 使用特权账号维护目标设备 |
下一代运维安全平台以特权账号安全为核心技术
集成了CMDB资产管理系统,工单系统,4A安全管理 ,特权账号管理,堡垒机,威胁情报分析,UEBA用户实体行为分析和SIEM安全事件日志分析系统,可以在满足实现运维的简单化,可视化,自动化,智能化要求的同时,兼顾安全与效率的平衡,实现业务安全的统一目标。
- 运维安全平台功能特性:
-
更多
收起
C/S架构设计,专有通信协议加密传输,确保终端安全性。
-
有效避免浏览器方式B/S保存登录密码的风险。
纯软件部署方式,支持集中或分布式部署,快速,简单。
可以一体机交付的形式,与研发安全平台结合,实现研发,运维安全一体化。
支持定制化项目需求,满足不同行业的安全与运维研发的需求。
具备高可用架构设计,确保系统容错安全。
- 满足运维安全管理的要求:
-
更多
收起
支持与CMDB,运维监控系统的集成
-
支持工单审批与第三方系统的定制和集成。
系统运维需要的各种运维工具(B/S,C/S)及网络协议能够做到100%支持,无需定制化开发,用户可以随时自行添加。
系统运维管理的基础架构目标设备(包括但不限于OS,DB,网络设备,安全设备,存储设备,公有云,私有云)能够100%做到连接支持,密码代填。
账号口令集中管理,支持批量按需自动或手动修改密码,满足相关法规需求。
高危命令阻断功能:支持针对 SSH/Telnet/FTP 等字符集方式的命令阻断,支持模糊和精确两种方式命令阻断;支持黑白名单方式:针对指定用户、设备、系统账号部署特定的命令控制。