【產(chǎn)品新功能】如何破解企業(yè)內(nèi)嵌賬號管理難題？

你的企業(yè)特權(quán)訪問管理（PAM）還局限在人類用戶層面嗎？

隨著企業(yè)IT環(huán)境的日益復(fù)雜，企業(yè)非人類賬號（即國內(nèi)常稱的“內(nèi)嵌賬號”）正以驚人的速度增加，其規(guī)模已達(dá)到人類身份的45倍多！

它們廣泛分布于云環(huán)境、DevOps工具、RPA機器人等多個領(lǐng)域，成為潛在的安全漏洞。

內(nèi)嵌賬號通常是指直接在代碼、配置文件或應(yīng)用程序內(nèi)定義并使用的賬戶。這類賬戶的用戶名、密碼或認(rèn)證信息通常硬編碼在應(yīng)用程序中，而不是通過外部管理系統(tǒng)動態(tài)配置或驗證。

它們往往擁有高特權(quán)訪問權(quán)限，用于執(zhí)行關(guān)鍵任務(wù)，如數(shù)據(jù)庫連接、內(nèi)部服務(wù)調(diào)用、業(yè)務(wù)系統(tǒng)協(xié)同管理等。一旦泄露或被濫用，將直接對企業(yè)數(shù)據(jù)安全和運營管理造成嚴(yán)重威脅。

近年來，針對供應(yīng)鏈、DevOps工具、云服務(wù)等的攻擊頻發(fā)。這些攻擊大多都是利用了內(nèi)嵌賬號管理的漏洞，如硬編碼憑據(jù)、未加密的通信等。

在這些內(nèi)嵌賬號管理中，又以“應(yīng)用內(nèi)嵌賬號”管理最讓人頭疼。

01

為什么應(yīng)用內(nèi)嵌賬號最難管？

應(yīng)用內(nèi)嵌賬號，指應(yīng)用系統(tǒng)連接數(shù)據(jù)庫的內(nèi)置賬號，或存在于運維自動化中連接操作系統(tǒng)執(zhí)行腳本自動化任務(wù)或腳本文件配置的系統(tǒng)賬號。

從這個定義就可以看出它的重要性，直接連接著企業(yè)最核心的資產(chǎn)——數(shù)據(jù)庫。

這類賬號往往以自動化賬號生成或靜默登錄的方式嵌套在應(yīng)用的使用過程中，廣泛存在于整個應(yīng)用的生命周期，并直接根植于業(yè)務(wù)系統(tǒng)。

由于調(diào)用這些應(yīng)用的程序很多，因此企業(yè)很多程序往往將內(nèi)嵌賬號和密碼以硬編碼或明文的方式寫“死”。

一旦這些賬號、密碼進行了更改，對應(yīng)的程序就不能訪問應(yīng)用，程序運行時就會報錯，直接影響企業(yè)業(yè)務(wù)正常運行。

因此，常規(guī)的特權(quán)賬號改密手段根本無法用于應(yīng)用內(nèi)嵌賬號。而金融行業(yè)證監(jiān)會的要求規(guī)范、國家等保規(guī)范、密評標(biāo)準(zhǔn)中，都對密碼定期修改提出了系列安全合規(guī)要求。

傳統(tǒng)手工同步操作改密的方式，耗時耗力。有些中間件在修改密碼時甚至要求整個應(yīng)用服務(wù)器重啟，對于企業(yè)高要求業(yè)務(wù)應(yīng)用系統(tǒng)根本不可行。

想象一下銀行支付處理應(yīng)用程序，它每秒處理數(shù)千筆交易。即使片刻的中斷也可能給企業(yè)帶來高昂的代價。

這也是為什么很多企業(yè)不愿意做這件事，致使許多應(yīng)用內(nèi)嵌賬號慢慢變成了服務(wù)賬號，成為企業(yè)內(nèi)部達(dá)成共識的一個特例——這些賬號密碼可能自系統(tǒng)上線后都不會更改。

02

內(nèi)嵌賬號改密難帶來高風(fēng)險

這些長期不改密的應(yīng)用內(nèi)嵌賬號，很容易就成為了黑客攻擊利用的目標(biāo)，嚴(yán)重影響企業(yè)業(yè)務(wù)系統(tǒng)應(yīng)用的穩(wěn)定和敏感數(shù)據(jù)的安全。

從企業(yè)內(nèi)部實際運營管理情況來看，應(yīng)用內(nèi)嵌賬號的確帶來了高風(fēng)險。

企業(yè)傳統(tǒng)管理應(yīng)用內(nèi)嵌賬號密碼的方法通常是通過配置文件或配置中心進行管理。這種管理方式相當(dāng)于將賬號密碼寫在一個文件里，雖然有的企業(yè)做了文件加密，但解密也很容易。

何況企業(yè)內(nèi)部運維人員在運維部署時，往往會接觸這些配置文件，拿到賬號密碼，并直接訪問數(shù)據(jù)庫，帶來內(nèi)部潛在安全威脅。

從外部攻擊來看，不法分子可以通過任何一個漏洞（更何況長期不改密的內(nèi)嵌賬號本身就是一個很大的漏洞），登到服務(wù)器，找到放著企業(yè)內(nèi)嵌賬號密碼的那張表的配置文件，連接數(shù)據(jù)庫，即可直接將企業(yè)數(shù)據(jù)庫拖走。

例如，某電商企業(yè)因長期不改密且未加密存儲內(nèi)嵌賬號密碼，導(dǎo)致攻擊者通過暴力破解訪問后臺，竊取了大量用戶數(shù)據(jù)，并引發(fā)大規(guī)模信任危機。

因此，內(nèi)嵌賬號密碼改密成為企業(yè)特權(quán)訪問管理過程中亟需解決的一個重點與難點。

03

企業(yè)內(nèi)嵌賬號如何安全平穩(wěn)改密？

面對改密難、改密成本高、管理難、安全風(fēng)險大的內(nèi)嵌賬號，企業(yè)到底該怎么辦？

派拉軟件特權(quán)訪問管理平臺（PAM）推出新功能——內(nèi)嵌賬號密碼與訪問管理，實現(xiàn)企業(yè)內(nèi)嵌賬號密碼統(tǒng)一集中自動化安全管理，并重點針對企業(yè)“老大難”的應(yīng)用內(nèi)嵌賬號密碼進行安全管控。

采用一套 Java 編程語言開發(fā)的軟件開發(fā)工具包（SDK），幫助企業(yè)在應(yīng)用中快速實現(xiàn)內(nèi)嵌賬號的創(chuàng)建、管理、認(rèn)證、權(quán)限控制等功能。

通過這一SDK，開發(fā)者可以集成內(nèi)嵌賬號的管理能力，在不影響系統(tǒng)應(yīng)用正常運行的基礎(chǔ)上，把硬編碼的內(nèi)嵌賬號密碼替換掉，并進行高效地統(tǒng)一應(yīng)用內(nèi)嵌賬號密碼管理。

利用“推拉”兩種模式，進行內(nèi)嵌賬號快速平穩(wěn)改密：

針對企業(yè)關(guān)心的改密瞬間密碼切換問題，派拉軟件PAM平臺也做了很好的處理。

在新舊密碼切換瞬間，若管理員沒有連接成功，程序會自動抓取連接失敗的錯誤，并快速重新從后臺拉出新密碼，重新連接。

這個切換時間，派拉軟件做到了毫秒級，幾乎不影響系統(tǒng)的正常運行。

04

全方位保障便利性、可用性、安全性

整個內(nèi)嵌賬號密碼管理過程中，派拉軟件PAM平臺在便利性、可用性、安全性上都有突出表現(xiàn)。

例如，在便利性上，利用JVM JavaAgent的嵌入方式，一個Agent適配所有數(shù)據(jù)庫，應(yīng)用無須打包或改造，配置簡單，應(yīng)用開發(fā)方無學(xué)習(xí)成本，增強使用便利性。

在可用性方面，系統(tǒng)采取本地內(nèi)存和文件加密雙緩存設(shè)計，密碼失效會自動獲取最新密碼，結(jié)合定時拉取密碼，最大保障密碼可用性。

也就是說，即使在統(tǒng)管特權(quán)賬號密碼平臺受影響的情況下，派拉軟件PAM平臺也能通過SDK的本地內(nèi)存和文件加密雙緩存能力，快速連接企業(yè)數(shù)據(jù)庫，保障訪問通道的順暢。

即使整個平臺癱瘓了，PAM平臺提供的逃生機制，也可以打開備份文件，拿到里面的賬號密碼，保障系統(tǒng)的可用性。

在安全方面，mTLS雙向證書，保障密碼傳輸安全；來源IP、進程路徑、程序MD5運行時控制，保障配置無法冒用，增加安全管控。

最終，助力企業(yè)組織構(gòu)建覆蓋企業(yè)人和非人類身份賬號（內(nèi)嵌賬號）的統(tǒng)一安全管理體系，從容應(yīng)對復(fù)雜的人和非人類特權(quán)訪問管理難題，保障業(yè)務(wù)安全與穩(wěn)定運行。