隨著國(guó)家對(duì)網(wǎng)絡(luò)安全的重視程度越來(lái)越高,各項(xiàng)法律對(duì)運(yùn)維安全審計(jì)做了詳細(xì)說(shuō)明,其中公安部88號(hào)令、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《信息安全等級(jí)保護(hù)管理辦法》、公安部151號(hào)令。
在上述的法律法規(guī)中,等級(jí)保護(hù)對(duì)運(yùn)維安全的要求最為詳盡,其中二級(jí)、三級(jí)、四級(jí)、五級(jí)等保中,都包含對(duì)賬號(hào)改密周期、訪問(wèn)控制、審計(jì)等詳盡的要求條例。
不管是從合規(guī)的角度還是從企業(yè)/組織運(yùn)維安全角度來(lái)看,賬號(hào)(尤其是特權(quán)賬號(hào))密碼的管理和和訪問(wèn)行為的控制和審計(jì)都是重中之重,而所有這些行為的最終目的都是要保障目標(biāo)服務(wù)器的安全。
另外,特權(quán)賬號(hào)其實(shí)應(yīng)該是一個(gè)統(tǒng)稱(chēng),不應(yīng)該狹義的認(rèn)為就是賬號(hào),而應(yīng)該是訪問(wèn)憑證(包括但不限于賬號(hào)密碼、證書(shū)、公私鑰等)。
一說(shuō)到運(yùn)維安全或服務(wù)器安全,第一印象應(yīng)該就是堡壘機(jī)。堡壘機(jī)又是怎么做安全保障呢?
堡壘機(jī)方案其實(shí)是借助網(wǎng)絡(luò)隔離,通過(guò)跳板機(jī)延長(zhǎng)了用戶(hù)的訪問(wèn)路徑,增加了攻擊的復(fù)雜性。有了跳板機(jī)后,用戶(hù)防范攻擊也從大量的服務(wù)器轉(zhuǎn)移到少量的跳板機(jī)上,簡(jiǎn)化了用戶(hù)運(yùn)維過(guò)程。
所以,堡壘機(jī)其實(shí)是提供訪問(wèn)通道(跳板機(jī))管控入口來(lái)達(dá)到安全的目的。
綜合下來(lái)一句話(huà):憑證管理是基礎(chǔ),賬號(hào)授權(quán)是保障,訪問(wèn)通道是補(bǔ)充。
2020年2月25日,微盟發(fā)布公告稱(chēng)內(nèi)部服務(wù)出現(xiàn)故障,大面積服務(wù)集群無(wú)法響應(yīng),生產(chǎn)環(huán)境及數(shù)據(jù)受到嚴(yán)重破壞。究其原因,微盟本次故障是因?yàn)楹诵倪\(yùn)維人員的惡意破壞所導(dǎo)致,實(shí)際上,IT歷史上此類(lèi)事件其實(shí)不在少數(shù),如2015年攜程運(yùn)維員工誤刪、2017年廣西移動(dòng)數(shù)據(jù)誤刪等,各類(lèi)刪庫(kù)事件,對(duì)企業(yè)及行業(yè)客戶(hù)來(lái)說(shuō)均造成了很大的影響。
總的來(lái)說(shuō),特權(quán)賬戶(hù)從創(chuàng)建、使用、保存、注銷(xiāo)等全過(guò)程中均面臨比較大的泄露風(fēng)險(xiǎn),尤其在企業(yè)運(yùn)轉(zhuǎn)中,IT資產(chǎn)包括操作系統(tǒng)、數(shù)據(jù)庫(kù)及網(wǎng)絡(luò)設(shè)備等各種賬號(hào)數(shù)量龐大、賬號(hào)類(lèi)型復(fù)雜,運(yùn)維人員很難對(duì)這些賬號(hào)進(jìn)行統(tǒng)一的梳理和管控。從內(nèi)控角度來(lái)看,絕大多數(shù)信息泄露都是因?yàn)橘~號(hào)被非法攻擊所導(dǎo)致,由于企業(yè)內(nèi)部弱密碼、僵尸賬號(hào)、孤兒賬號(hào)等情況普遍存在,很難對(duì)這些賬號(hào)進(jìn)行實(shí)時(shí)的風(fēng)險(xiǎn)識(shí)別,更無(wú)法實(shí)現(xiàn)多緯度的審計(jì)和事后追溯。
派拉特權(quán)賬號(hào)管理可以實(shí)現(xiàn)對(duì)企業(yè)IT資產(chǎn)的統(tǒng)一管理,通過(guò)訪問(wèn)控制和最小權(quán)限原則,可以有效防止“刪庫(kù)跑路”及惡意破壞IT數(shù)據(jù)資源事件的發(fā)生,從而實(shí)現(xiàn)對(duì)機(jī)房硬件設(shè)備、后臺(tái)管理平臺(tái)實(shí)名制訪問(wèn)管理,最大程度控制運(yùn)維風(fēng)險(xiǎn),保障企業(yè)信息安全。
相較于堡壘機(jī),特權(quán)賬號(hào)管理更側(cè)重于賬號(hào)的維護(hù)和梳理,通過(guò)管理和監(jiān)控特權(quán)賬戶(hù)和訪問(wèn)權(quán)限,保護(hù)特權(quán)賬號(hào)安全地存儲(chǔ)在系統(tǒng)中防止企業(yè)信息數(shù)據(jù)泄露,滿(mǎn)足合規(guī)性等方面要求。從市場(chǎng)趨勢(shì)看,特權(quán)賬號(hào)管理未來(lái)將會(huì)呈現(xiàn)持續(xù)的增長(zhǎng)趨勢(shì),在Gartner曾經(jīng)提出的十大網(wǎng)絡(luò)安全項(xiàng)目中,特權(quán)賬號(hào)安全也被列為第一項(xiàng)的重點(diǎn)安全項(xiàng)目,所以我們常說(shuō),堡壘機(jī)只管當(dāng)下,特權(quán)才是未來(lái)。