隨著國家對網(wǎng)絡安全的重視程度越來越高,各項法律對運維安全審計做了詳細說明,其中公安部88號令、《中華人民共和國網(wǎng)絡安全法》、《信息安全等級保護管理辦法》、公安部151號令。
在上述的法律法規(guī)中,等級保護對運維安全的要求最為詳盡,其中二級、三級、四級、五級等保中,都包含對賬號改密周期、訪問控制、審計等詳盡的要求條例。
不管是從合規(guī)的角度還是從企業(yè)/組織運維安全角度來看,賬號(尤其是特權(quán)賬號)密碼的管理和和訪問行為的控制和審計都是重中之重,而所有這些行為的最終目的都是要保障目標服務器的安全。
另外,特權(quán)賬號其實應該是一個統(tǒng)稱,不應該狹義的認為就是賬號,而應該是訪問憑證(包括但不限于賬號密碼、證書、公私鑰等)。
一說到運維安全或服務器安全,第一印象應該就是堡壘機。堡壘機又是怎么做安全保障呢?
堡壘機方案其實是借助網(wǎng)絡隔離,通過跳板機延長了用戶的訪問路徑,增加了攻擊的復雜性。有了跳板機后,用戶防范攻擊也從大量的服務器轉(zhuǎn)移到少量的跳板機上,簡化了用戶運維過程。
所以,堡壘機其實是提供訪問通道(跳板機)管控入口來達到安全的目的。
綜合下來一句話:憑證管理是基礎(chǔ),賬號授權(quán)是保障,訪問通道是補充。
2020年2月25日,微盟發(fā)布公告稱內(nèi)部服務出現(xiàn)故障,大面積服務集群無法響應,生產(chǎn)環(huán)境及數(shù)據(jù)受到嚴重破壞。究其原因,微盟本次故障是因為核心運維人員的惡意破壞所導致,實際上,IT歷史上此類事件其實不在少數(shù),如2015年攜程運維員工誤刪、2017年廣西移動數(shù)據(jù)誤刪等,各類刪庫事件,對企業(yè)及行業(yè)客戶來說均造成了很大的影響。
總的來說,特權(quán)賬戶從創(chuàng)建、使用、保存、注銷等全過程中均面臨比較大的泄露風險,尤其在企業(yè)運轉(zhuǎn)中,IT資產(chǎn)包括操作系統(tǒng)、數(shù)據(jù)庫及網(wǎng)絡設備等各種賬號數(shù)量龐大、賬號類型復雜,運維人員很難對這些賬號進行統(tǒng)一的梳理和管控。從內(nèi)控角度來看,絕大多數(shù)信息泄露都是因為賬號被非法攻擊所導致,由于企業(yè)內(nèi)部弱密碼、僵尸賬號、孤兒賬號等情況普遍存在,很難對這些賬號進行實時的風險識別,更無法實現(xiàn)多緯度的審計和事后追溯。
派拉特權(quán)賬號管理可以實現(xiàn)對企業(yè)IT資產(chǎn)的統(tǒng)一管理,通過訪問控制和最小權(quán)限原則,可以有效防止“刪庫跑路”及惡意破壞IT數(shù)據(jù)資源事件的發(fā)生,從而實現(xiàn)對機房硬件設備、后臺管理平臺實名制訪問管理,最大程度控制運維風險,保障企業(yè)信息安全。
相較于堡壘機,特權(quán)賬號管理更側(cè)重于賬號的維護和梳理,通過管理和監(jiān)控特權(quán)賬戶和訪問權(quán)限,保護特權(quán)賬號安全地存儲在系統(tǒng)中防止企業(yè)信息數(shù)據(jù)泄露,滿足合規(guī)性等方面要求。從市場趨勢看,特權(quán)賬號管理未來將會呈現(xiàn)持續(xù)的增長趨勢,在Gartner曾經(jīng)提出的十大網(wǎng)絡安全項目中,特權(quán)賬號安全也被列為第一項的重點安全項目,所以我們常說,堡壘機只管當下,特權(quán)才是未來。