Edvance 公司介紹
•成立于2007年
•推動產(chǎn)品演進(jìn)
•至今所有客戶均自己實施
•專業(yè)的客戶化定制能力
•專業(yè)的技術(shù)支持
CyberArk中國客戶簡表(金融行業(yè))
CyberArk中國客戶簡表(非金融行業(yè))
密碼管理為什么最重要��?
•會話審計:某人-某賬號-時間
•嚴(yán)格的密碼管理�����,預(yù)防在生產(chǎn)網(wǎng)絡(luò)中隨意跳轉(zhuǎn)
•不嚴(yán)格的密碼管理:很難快速從海量審計數(shù)據(jù)中進(jìn)行回溯
生產(chǎn)網(wǎng)絡(luò)
針對現(xiàn)有環(huán)境的疑問�?
1、只管理了操作系統(tǒng)賬號����?
2、數(shù)據(jù)庫����、中間件、網(wǎng)絡(luò)設(shè)備�、安全設(shè)備�、自有應(yīng)用的密碼如何管理?
3���、連接工具只有RDP����、SSH��?
4��、還想要SQL連接工具、瀏覽器�、中間件WinFrom工具怎么辦?
5�����、Windows那么多Administrators組成員�����,如何縮減���?
6��、我不想發(fā)放root����,怎么給予普通賬號一點root權(quán)限���?
7��、還有一些集成需求無法實現(xiàn)���?
多網(wǎng)段分布式
高并發(fā)下性能問題
產(chǎn)品成熟度
穩(wěn)定性
自身安全: 堡壘機(jī)
•作為特權(quán)賬號這種企業(yè)核心資產(chǎn)的管理平臺����,解決方案的自身安全性是需要考慮的關(guān)鍵因素之一����。
•過去幾年,尤其是2014年�����,堡壘機(jī)的安全漏洞被烏云網(wǎng)等權(quán)威漏洞平臺頻頻曝光堡壘機(jī)的重大安全漏洞��,安全性讓很多用戶擔(dān)憂�。
運維賬號統(tǒng)一管理的5大范疇
特權(quán)-威脅分析
•日志收集
•日志分析
•統(tǒng)計值分析
•觸發(fā)預(yù)警
•防繞開報警
自動-密碼管理
•一次一密
•密碼管理的穩(wěn)定性
•適配數(shù)據(jù)中心所有設(shè)備類型
•豐富的策略配置選項
運維-單點登錄(會話管理)
•審計命令行、窗口�����、SQL語句���、擊鍵信息
•適配所有常用連接工具
權(quán)限-顆粒度管理
•UNIX/Linux提權(quán)
•Windows提權(quán)
•應(yīng)用控制
•后臺行為記錄
•防繞開機(jī)制
應(yīng)用-內(nèi)嵌密碼管理
•提供豐富的SDK
•DevOps
•對應(yīng)用程序Hash、IP���、路徑���、執(zhí)行用戶認(rèn)證
•支持中間件DataSource
堡壘機(jī)的實現(xiàn)比例
我們的PAS實現(xiàn)比例
與傳統(tǒng)堡壘機(jī)的區(qū)別
1�、缺少專有的密碼管理解決方案
IDC報告指出�,專有的密碼管理解決方案(Password Vault)是成熟的特權(quán)訪問管理解決方案的必要組件。無論是對于密碼管理的穩(wěn)定性還是安全性而言��,堡壘機(jī)基于通用數(shù)據(jù)庫的密碼管理方案都存在明顯的隱患�����。這也是主流PAM解決方案與堡壘機(jī)的本質(zhì)區(qū)別�。
2、特權(quán)管理的覆蓋面
堡壘機(jī)的管理目標(biāo)對象通常只支持主機(jī)和數(shù)據(jù)庫��,目前也有少數(shù)堡壘機(jī)能支持部分網(wǎng)絡(luò)設(shè)備�。對于應(yīng)用內(nèi)嵌、虛擬化�����、專用設(shè)備(如工控設(shè)備)等特權(quán)賬號無法管理���,而從近年來的信息安全案例分析�,這些特權(quán)賬號存在極大的安全隱患��。而以PAM解決方案,可以實現(xiàn)特權(quán)賬號的全覆蓋��。
3�����、難以適應(yīng)定制化應(yīng)用場景
堡壘機(jī)是一種通用型硬件設(shè)備���,缺少對用戶定制化應(yīng)用場景的靈活支持能力�����,適用于對于需求簡單的中小型用戶�。而對于復(fù)雜IT架構(gòu)下的行業(yè)大用戶而言����,定制化應(yīng)用場景非常多,堡壘機(jī)的非開放性和簡單的策略配置難以滿足復(fù)雜需求�。而對于PAS而言,開放的標(biāo)準(zhǔn)SDK接口和豐富的策略集���,不僅可以滿足復(fù)雜場景需求,對于與外部系統(tǒng)(如工單系統(tǒng))的接口也可以簡單實現(xiàn)�。
4�、不支持集中管理的分布式部署
堡壘機(jī)屬于單點設(shè)備�,對于大型的分布式網(wǎng)絡(luò)和混合IT架構(gòu)而言,往往需要部署數(shù)十臺這樣的設(shè)備��,而且這些設(shè)備無法統(tǒng)一管理�����,從而產(chǎn)生高昂的管理成本和極大的安全隱患���。軟件形式的PAM解決方案則不存在這個問題���。
5、不支持?jǐn)?shù)據(jù)級高可用(HA)和容災(zāi)(DR)
特權(quán)賬號密碼是企業(yè)的核心資產(chǎn)之一����,而作為特權(quán)賬號密碼的管理系統(tǒng),一旦發(fā)生不可逆的系統(tǒng)故障導(dǎo)致密碼數(shù)據(jù)丟失�����,核心業(yè)務(wù)系統(tǒng)將無法維護(hù)�。PAM解決方案把HA和DR作為系統(tǒng)安全性的保障,而堡壘機(jī)則缺少支持機(jī)制�����。
6、難以適應(yīng)新技術(shù)應(yīng)用和發(fā)展的趨勢
堡壘機(jī)封閉而固化的技術(shù)架構(gòu)對于飛速發(fā)展的IT技術(shù)而言顯得難以跟上步伐��。隨著虛擬化技術(shù)�、混合云架構(gòu)等新技術(shù)的發(fā)展和應(yīng)用,對于安全設(shè)備就要求具有云和虛擬環(huán)境部署能力���、彈性的負(fù)載擴(kuò)展能力���、靈活的隨業(yè)務(wù)遷移能力。而以軟件形態(tài)交付的PAM解決方案����,新技術(shù)的適應(yīng)能力上具有天然的優(yōu)勢,并且可以充分利用新技術(shù)帶來的優(yōu)勢���,包括在線遷移��、虛擬快照等��,與新技術(shù)的應(yīng)用相得益彰�����。
數(shù)據(jù)中心內(nèi)賬號無處不在
•Windows的Cluster服務(wù)���、計劃任務(wù)、中都需要綁定域賬號
•網(wǎng)絡(luò)�、安全設(shè)備中的root或者enable賬號
•內(nèi)部管理軟件比如備份,監(jiān)控等系統(tǒng)的管理員賬號
賬號管理最佳實踐 – 要點與難點
強化賬號一次一密
•使用后N小時過期
•隨機(jī)密碼��,無人知曉�,防暴力破解
高頻度賬號回顧與梳理
•每天梳理數(shù)據(jù)中心的賬號列表,審查不合規(guī)密碼
•安全控制團(tuán)隊進(jìn)入審查常態(tài)化����,智能化
管理范圍全面
•管理類賬號、應(yīng)用內(nèi)嵌類賬號
•不同管理接口:zos,ssh,odbc,http,win等
賬號使用作嚴(yán)格控制
•雙因素認(rèn)證
•雙人會同�、分段發(fā)放、不允許知曉密碼
•變更管理
賬號使用監(jiān)控
•監(jiān)控訪問會話
•操作錄像與命令行回溯
賬號最小權(quán)限原則
•盡量減少使用特權(quán)
•特定任務(wù)不允許使用特權(quán)��,或?qū)⑺杼貦?quán)剝離出
CyberArk PAS 基本工作原理
1�、Master/exception policy definition
2、初始化和加載
自動發(fā)現(xiàn)�����,導(dǎo)入,手動導(dǎo)入
3�����、訪問過程
雙人會同/控制,
與工單系統(tǒng)集成,
一次性密碼�,排他密碼
4、直接特權(quán)單點登錄
5�����、審計人員訪問
會話管理
會話監(jiān)控與交互:內(nèi)部員工中斷供應(yīng)商所使用的會話
快速查找特權(quán)會話審計信息�,便于團(tuán)隊分析與回顧
金融行業(yè)安全設(shè)定最佳實踐 – 防止密碼暴力破解
•暴力破解root,因此必須限制root直接遠(yuǎn)程登錄�。國際銀行、國內(nèi)大型金融機(jī)構(gòu)中必須先用普通用戶登錄�����,再su - root切換到root�。
•所以要求CyberArk平臺能夠適應(yīng)這種場景
高頻度進(jìn)行賬號回顧和梳理
高頻度的賬號檢測報表
需求場景:任何使用特權(quán)帳號的人可能創(chuàng)建后門賬號,或者改變UID/GID�����,加入管理員組以獲得特權(quán)賬號��,
技術(shù)風(fēng)險:最終繞開審計管理系統(tǒng),使得審計系統(tǒng)形同虛設(shè)���。
解決方案:通過任意兩天帳號信息的數(shù)據(jù)的比對�����,及時發(fā)現(xiàn)帳號權(quán)限的變更情況,以下為太平洋保險的實施案例��。
需求場景:未納管賬號跟蹤
需求場景:審計管理系統(tǒng)建立后���,需要確保新增服務(wù)器�����,新增賬號都能納入管理�,但是通過流程有時候會滯后�����,及時發(fā)現(xiàn)未納管賬號就成了內(nèi)控的管理依據(jù)
技術(shù)風(fēng)險:如果沒有及時納管���,很容易導(dǎo)致不合規(guī)�,部分賬號游離于管理之外。
解決方案:比對“已管理”和“實際擁有”的賬號列表����,發(fā)現(xiàn)“未納管”。
虛擬環(huán)境中自動發(fā)現(xiàn)特權(quán)賬號
1�、連接VMware vCenter
2、CPM 掃描新增或刪除的ESX 宿主機(jī)
3�、ESX 宿主機(jī)root 賬號存儲在Vault中
4、CPM 掃描每臺ESX 宿主機(jī)中新增或刪除的虛擬機(jī).
5���、CPM 自動偵測 Windows 本地管理員賬號, Unix root 賬號, Windows 應(yīng)用 (服務(wù), 計劃任務(wù)等), 自動報告本地管理員組成員, 標(biāo)記未被管理賬號
應(yīng)急預(yù)案(技術(shù)+流程)
【客戶案例】 如何在故障時第一時間獲取密碼
我們?nèi)绾伪Wo(hù)應(yīng)用內(nèi)嵌賬號(1)
•CPM for Configuration File / DB Column
•晚間批量��,比如核心銀行���、數(shù)據(jù)倉庫,PCRM/CCRM應(yīng)用
•自動化應(yīng)用部署或者升級程序
如何保護(hù)應(yīng)用內(nèi)嵌賬號(2) - 調(diào)用安全的SDK
•支持多方位認(rèn)證:Hash認(rèn)證�、IP地址、啟動用戶�����、執(zhí)行路徑
•Java, .NET, Batch, Shell, C/C++, COM, VB
•Windows, AIX, HPUX, Solaris, Linux, zLinux, AS400
應(yīng)用賬號密碼管理
基于Java應(yīng)用服務(wù)器中的特權(quán)賬號管理
如何保護(hù)應(yīng)用內(nèi)嵌賬號(4)
權(quán)限細(xì)顆粒都管理
賬號權(quán)限細(xì)顆粒度管理
減少特權(quán)賬號登錄和使用����,遵循最小權(quán)限原則����。
1���、企業(yè)級賬號權(quán)限管理解決方案�。
2��、最小權(quán)限分配原則����。
3�����、自動提權(quán)�����,無需手動切換超級用戶��。
4�、特權(quán)級操作行為審計。
一般如何管理權(quán)限�����?
在目標(biāo)系統(tǒng)直接修改系統(tǒng)底層用戶權(quán)限
配置sudo以允許普通用戶執(zhí)行某些特權(quán)級操作,減少root用戶的登錄
直接使用su命令切換root身份����,進(jìn)行特權(quán)級操作
直接修改UID和GID,給予其特權(quán)用戶身份�。
細(xì)顆粒化權(quán)限管理(1)- 將指定特權(quán)賦予普通賬號
需求場景:大量腳本使用特權(quán)賬號進(jìn)行后臺運行��。
需求場景:大量腳本使用特權(quán)賬號進(jìn)行后臺運行�����。防止使用root的管理員惡意篡改cronTab對應(yīng)的腳本�����。
技術(shù)風(fēng)險:一旦腳本被篡改����,將直接擁有特權(quán)。
解決方案:由于CronTab對應(yīng)的腳本通常是“固定行為”的���,因此可以剝離這部分權(quán)限由普通用戶執(zhí)行���。比如為了清理/var/log目錄下的文件����,常利用CronTab啟動腳本����,運行時以root執(zhí)行。
不同職能部門對于回收Admin權(quán)限的痛點
|
Scenario:
|
賬號有本地管理員權(quán)限
|
移除管理員權(quán)限
|
|
Operations Team
• 桌面管理
• ATM管理
• 系統(tǒng)管理員
• 應(yīng)用管理員
• IT總監(jiān)
|
花費大量時間處理和修復(fù)Windows機(jī)器上的問題
ATM機(jī)器被攻擊���,造成惡劣影響�。
|
日常維護(hù)和運行程序時又必須使用部分的特權(quán)��,如何平衡“安全”和“功能需求”
|
|
信息安全團(tuán)隊
•Security Analyst
•Security Architect
•Director of IT Security
|
沒有能力去規(guī)劃�����、梳理管理員權(quán)限���,使得在實際應(yīng)用部署中,大量程序使用管理員權(quán)限執(zhí)行���,導(dǎo)致放大的攻擊面�����。
如果移除管理員權(quán)限�����,是否減少了終端的事件處理總量
|
如果業(yè)務(wù)需求中需要使用到部分特權(quán)�����,那么如何響應(yīng)其需求呢�?
|
最小權(quán)限 + 應(yīng)用控制 = 降低操作風(fēng)險
最小權(quán)限
•一般用戶和管理用戶都滿足“最小權(quán)限”原則行事
•風(fēng)險: 惡意軟件仍舊可以執(zhí)行并入侵系統(tǒng)。比如大量的綠色軟件
應(yīng)用控制
•僅允許白名單和受信的應(yīng)用程序
•風(fēng)險: 應(yīng)用程序需要使用到特權(quán)才能運行����,在實際使用中又無法回收管理員權(quán)限。
組合拳 – “最小權(quán)限”和“應(yīng)用控制”降低了攻擊面�����,并阻斷惡意軟件的攻擊進(jìn)程���。
如何減少Windows上administrators組成員
•問題:通常windows上的應(yīng)用運維賬號都是administrators組成員���。如果是普通用戶無法滿足其日常起停服務(wù)等操作��。
•解決方案:授予一個appuser(普通用戶���,非管理員)執(zhí)行某類特權(quán)。
Windows桌面管理
•通過Agent發(fā)現(xiàn)Windows機(jī)器中所安裝的軟件
禁止非法的軟件執(zhí)行
•針對禁止的應(yīng)用����,當(dāng)下一次用戶執(zhí)行時,即使登陸用戶為administrator�����,也會被阻斷執(zhí)行惡意程序����。
Windows桌面管理 – 監(jiān)控和管理軟件網(wǎng)絡(luò)通信
•騰訊QQ輔助進(jìn)程是否在后臺收集個人數(shù)據(jù) ?
如何檢測特權(quán)賬號的濫用
行為分析: 自學(xué)習(xí)統(tǒng)計模型�,結(jié)合CyberArk、SIEM數(shù)據(jù)���、目標(biāo)服務(wù)器上的訪問記錄.
Privileged Threat Analytics – 價值
•針對非法訪問操作進(jìn)行探測與報警
降低黑客攻擊概率
及時發(fā)現(xiàn)異常,作出快速響應(yīng)
•能夠同時防止內(nèi)部和外部的攻擊
•自適應(yīng)內(nèi)部正常行為的統(tǒng)計數(shù)據(jù)
•簡單��、有效����,不依賴于簽名等過于復(fù)雜的技術(shù)來識別攻
正常的訪問 vs 所有的審計數(shù)據(jù)
•更智能的關(guān)聯(lián)分析
特權(quán)賬號管理 – 4個重要范疇
各種自定義模塊
多種集成方式
賬號管理未來管理路線圖
初級
搭建特權(quán)賬號管理平臺�,將所有特權(quán)賬號納入其中���,
實現(xiàn)密碼自動更改
操作審計
通過對權(quán)限的細(xì)粒度控制與發(fā)放���,減少特權(quán)賬號的直接使用
高級
對應(yīng)用系統(tǒng)內(nèi)嵌特權(quán)賬號進(jìn)行改造管理,實現(xiàn)全行特權(quán)賬號的全面自動控制
持續(xù)優(yōu)化
與更多內(nèi)部管理系統(tǒng)對接��,對IT資產(chǎn)形成
