安全挑战
1.特权账号是真实的安全威胁

随着云计算、DevOps、流程自动化、IoT等技术的日益普及,企业内部需要使用特权账号的设备和应用程序的数量不断增加,攻击面也越来越大。这些特权账号的数量远远超过企业的运维员工数量,而且很难对其进行监控和管理,一旦被攻击者获得,就可以以特权账号为跳板访问企业的核心系统,给企业造成数据丢失、业务中断、知识产权被盗等损失,甚至直接蒙受重大的经济损失。

2.特权账号是访问核心资产的钥匙

特权账号是访问企业核心资产的钥匙,外部攻击者和内部破坏者都会想方设法获取这些账号,以便直接访问企业的核心资产。因此,企业关键IT系统和敏感数据的安全,和这些特权账号是否得到有效的保护和控制息息相关。

3.特权账号管理面临的合规性要求

很多法律法规都对特权账号管理提出了明确的要求,例如《信息系统安全等级保护基本要求》《证券经营机构营业部信息系统技术管理规范》。

《信息系统安全等级保护基本要求》要求身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;应授予不同账号为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;应及时删除多余的、过期的账号,避免共享账号的存在。

《〈证券经营机构营业部信息系统技术管理规范〉技术指引》要求 “定期更换操作口令”是指至少每两个月更换一次;冗余用户要及时清理,超过三个月未使用过的用户要设置为禁止使用状态或删除;数据库管理系统的系统管理员口令应由电脑中心集中管理,并于非软件开发商的第三处封存保管。

4.特权账号安全管理难

由于服务器、数据库和业务系统众多,特权账号无处不在,企业很难对其进行有效、统一的管理,难点主要表现在:

(1)特权账号密码管理难

• 密码由人进行管理,往往会以文件形式记录在电脑上,没有安全的存储,存在极大的安全隐患。

• 密码缺少统一管理,存在运维人员个人掌握大量账号密码的情况。

• 很多系统的密码设置都是相同的,以便于记忆,甚至一个业务系统相关的设备、中间件、系统都采用相同的密码或有规律的密码集。

• 在中间件、应用代码和配置文件中配置硬编码问题严峻。

(2)特权账号权限管理难

• 大部分账号没有推行最小权限原则,在没有规范管理和审计的情况下,root或者管理员权限被大量发放。

• 特权账号普遍存在多人共享的情况。

• 第三方运维人员更换较为频繁,许多运维管理账号的交接无法有效管控,离职人员的特权账号回收、变更、管理非常困难。

解决方案

奇安信特权账户解决方案基于特权账号生命周期管理流程,提供了特权账号的发现和纳管、自动改密、验证和巡检、访问权限控制、锁定和释放等功能,帮助用户开展系统化、流程化和规范化的特权账号管理工作,降低特权账号管理不善带来的安全风险,防范攻击者利用特权账号对敏感数据进行窃取,满足合规要求。

特权账户管理解决方案

特权账号管理系统(Privilege account management,以下简称PAM)

1.管理员使用流程:

1)特权账号管理员访问PAM控制台;

2)在PAM控制台配置密码策略,例如:一次一密、周期改密等;

3)根据配置的密码策略,由策略执行器对目标服务器进行特权账号密码的修改和巡检;

4)对目标设备修改密码之后,将新密码保存到密码保险箱。

2.运维人员使用流程:

1)运维人员访问堡垒机。

2)当有运维需求时,堡垒机需要从PAM签出特权账号。

3)PAM供给特权账号给堡垒机使用。

4)运维人员通过堡垒机单点登录到目标服务器。

5)在目标服务器上的操作将会记录到堡垒机上。

6)操作完成之后,堡垒机将特权账号签入PAM。



方案特点
1.安全存储特权账户

特权账户的密码统一保存在密码保险箱中,确保特权账户密码保存的安全性。密码保险箱是专门用于密钥保护的设备,可对密钥进行分级加密,并支持高可用和灾备,确保密钥不丢失。

2.特权账户发现

通过特权账户自动发现功能,可以发现业务系统中的特权账户变化,全面掌握特权账户的使用情况,做到可控、可管。

3.统一的密码安全策略

密码定期自动化的更改和管理,密码的存储、分享、管理都交给密码保险箱,消除特权账户由于长时间未修改密码带来的安全风险。

4.访问控制

特权账户管理系统与堡垒机进行联动,基于最小权限划分的原则,实现访问控制。

5.风险分析
通过对特权账户的风险分析,分析长时间未登录账号、长时间未改密账号、提权账号、弱密码等,及时处理安全隐患。


应用价值
1.安全

有效抵御恶意的外部入侵和内部威胁,全方位地管理特权账号,帮助企业保护敏感信息和关键资产。

2.高效

帮助企业实现对特权账号全生命周期的管理,自动改密可简化工作流程,实现系统化、流程化和规范化的特权账号管理,从而提升工作效率,降低运维成本。

3.合规

详细记录特权账号活动记录,协助企业迅速通过审计,便于管理员重溯操作取证定责,同时满足行业法律法规要求。