En 400-6655-581
5
返回列表

特權(quán)賬號漫談

文章

2021-08-20瀏覽次數(shù):340

隨著國家對網(wǎng)絡(luò)安全的重視程度越來越高,各項法律對運(yùn)維安全審計做了詳細(xì)說明,其中公安部88號令、《中華人民共和國網(wǎng)絡(luò)安全法》、《信息安全等級保護(hù)管理辦法》、公安部151號令。

 

在上述的法律法規(guī)中,等級保護(hù)對運(yùn)維安全的要求最為詳盡,其中二級、三級、四級、五級等保中,都包含對賬號改密周期、訪問控制、審計等詳盡的要求條例。

 

不管是從合規(guī)的角度還是從企業(yè)/組織運(yùn)維安全角度來看,賬號(尤其是特權(quán)賬號)密碼的管理和和訪問行為的控制和審計都是重中之重,而所有這些行為的最終目的都是要保障目標(biāo)服務(wù)器的安全。


另外,特權(quán)賬號其實應(yīng)該是一個統(tǒng)稱,不應(yīng)該狹義的認(rèn)為就是賬號,而應(yīng)該是訪問憑證(包括但不限于賬號密碼、證書、公私鑰等)。

     一說到運(yùn)維安全或服務(wù)器安全,第一印象應(yīng)該就是堡壘機(jī)。堡壘機(jī)又是怎么做安全保障呢?

 

堡壘機(jī)方案其實是借助網(wǎng)絡(luò)隔離,通過跳板機(jī)延長了用戶的訪問路徑,增加了攻擊的復(fù)雜性。有了跳板機(jī)后,用戶防范攻擊也從大量的服務(wù)器轉(zhuǎn)移到少量的跳板機(jī)上,簡化了用戶運(yùn)維過程。

 

所以,堡壘機(jī)其實是提供訪問通道(跳板機(jī))管控入口來達(dá)到安全的目的。

 


綜合下來一句話:憑證管理是基礎(chǔ),賬號授權(quán)是保障,訪問通道是補(bǔ)充。

2020年2月25日,微盟發(fā)布公告稱內(nèi)部服務(wù)出現(xiàn)故障,大面積服務(wù)集群無法響應(yīng),生產(chǎn)環(huán)境及數(shù)據(jù)受到嚴(yán)重破壞。究其原因,微盟本次故障是因為核心運(yùn)維人員的惡意破壞所導(dǎo)致,實際上,IT歷史上此類事件其實不在少數(shù),如2015年攜程運(yùn)維員工誤刪、2017年廣西移動數(shù)據(jù)誤刪等,各類刪庫事件,對企業(yè)及行業(yè)客戶來說均造成了很大的影響。

 

總的來說,特權(quán)賬戶從創(chuàng)建、使用、保存、注銷等全過程中均面臨比較大的泄露風(fēng)險,尤其在企業(yè)運(yùn)轉(zhuǎn)中,IT資產(chǎn)包括操作系統(tǒng)、數(shù)據(jù)庫及網(wǎng)絡(luò)設(shè)備等各種賬號數(shù)量龐大、賬號類型復(fù)雜,運(yùn)維人員很難對這些賬號進(jìn)行統(tǒng)一的梳理和管控。從內(nèi)控角度來看,絕大多數(shù)信息泄露都是因為賬號被非法攻擊所導(dǎo)致,由于企業(yè)內(nèi)部弱密碼、僵尸賬號、孤兒賬號等情況普遍存在,很難對這些賬號進(jìn)行實時的風(fēng)險識別,更無法實現(xiàn)多緯度的審計和事后追溯。

派拉特權(quán)賬號管理可以實現(xiàn)對企業(yè)IT資產(chǎn)的統(tǒng)一管理,通過訪問控制和最小權(quán)限原則,可以有效防止“刪庫跑路”及惡意破壞IT數(shù)據(jù)資源事件的發(fā)生,從而實現(xiàn)對機(jī)房硬件設(shè)備、后臺管理平臺實名制訪問管理,最大程度控制運(yùn)維風(fēng)險,保障企業(yè)信息安全。

相較于堡壘機(jī),特權(quán)賬號管理更側(cè)重于賬號的維護(hù)和梳理,通過管理和監(jiān)控特權(quán)賬戶和訪問權(quán)限,保護(hù)特權(quán)賬號安全地存儲在系統(tǒng)中防止企業(yè)信息數(shù)據(jù)泄露,滿足合規(guī)性等方面要求。從市場趨勢看,特權(quán)賬號管理未來將會呈現(xiàn)持續(xù)的增長趨勢,在Gartner曾經(jīng)提出的十大網(wǎng)絡(luò)安全項目中,特權(quán)賬號安全也被列為第一項的重點安全項目,所以我們常說,堡壘機(jī)只管當(dāng)下,特權(quán)才是未來。