你的企業(yè)特權(quán)訪問管理(PAM)還局限在人類用戶層面嗎�����?
隨著企業(yè)IT環(huán)境的日益復(fù)雜���,企業(yè)非人類賬號(hào)(即國內(nèi)常稱的“內(nèi)嵌賬號(hào)”)正以驚人的速度增加���,其規(guī)模已達(dá)到人類身份的45倍多!
它們廣泛分布于云環(huán)境����、DevOps工具、RPA機(jī)器人等多個(gè)領(lǐng)域�,成為潛在的安全漏洞。
內(nèi)嵌賬號(hào)通常是指直接在代碼���、配置文件或應(yīng)用程序內(nèi)定義并使用的賬戶�。這類賬戶的用戶名�、密碼或認(rèn)證信息通常硬編碼在應(yīng)用程序中,而不是通過外部管理系統(tǒng)動(dòng)態(tài)配置或驗(yàn)證�����。
它們往往擁有高特權(quán)訪問權(quán)限����,用于執(zhí)行關(guān)鍵任務(wù),如數(shù)據(jù)庫連接���、內(nèi)部服務(wù)調(diào)用��、業(yè)務(wù)系統(tǒng)協(xié)同管理等�����。一旦泄露或被濫用��,將直接對(duì)企業(yè)數(shù)據(jù)安全和運(yùn)營(yíng)管理造成嚴(yán)重威脅���。
近年來,針對(duì)供應(yīng)鏈��、DevOps工具��、云服務(wù)等的攻擊頻發(fā)�����。這些攻擊大多都是利用了內(nèi)嵌賬號(hào)管理的漏洞,如硬編碼憑據(jù)����、未加密的通信等。
在這些內(nèi)嵌賬號(hào)管理中�����,又以“應(yīng)用內(nèi)嵌賬號(hào)”管理最讓人頭疼���。
為什么應(yīng)用內(nèi)嵌賬號(hào)最難管��?
應(yīng)用內(nèi)嵌賬號(hào)��,指應(yīng)用系統(tǒng)連接數(shù)據(jù)庫的內(nèi)置賬號(hào)��,或存在于運(yùn)維自動(dòng)化中連接操作系統(tǒng)執(zhí)行腳本自動(dòng)化任務(wù)或腳本文件配置的系統(tǒng)賬號(hào)����。
從這個(gè)定義就可以看出它的重要性����,直接連接著企業(yè)最核心的資產(chǎn)——數(shù)據(jù)庫。
這類賬號(hào)往往以自動(dòng)化賬號(hào)生成或靜默登錄的方式嵌套在應(yīng)用的使用過程中����,廣泛存在于整個(gè)應(yīng)用的生命周期���,并直接根植于業(yè)務(wù)系統(tǒng)。
由于調(diào)用這些應(yīng)用的程序很多����,因此企業(yè)很多程序往往將內(nèi)嵌賬號(hào)和密碼以硬編碼或明文的方式寫“死”��。
一旦這些賬號(hào)��、密碼進(jìn)行了更改��,對(duì)應(yīng)的程序就不能訪問應(yīng)用�,程序運(yùn)行時(shí)就會(huì)報(bào)錯(cuò),直接影響企業(yè)業(yè)務(wù)正常運(yùn)行�����。
因此����,常規(guī)的特權(quán)賬號(hào)改密手段根本無法用于應(yīng)用內(nèi)嵌賬號(hào)。而金融行業(yè)證監(jiān)會(huì)的要求規(guī)范����、國家等保規(guī)范�����、密評(píng)標(biāo)準(zhǔn)中�,都對(duì)密碼定期修改提出了系列安全合規(guī)要求�。
傳統(tǒng)手工同步操作改密的方式,耗時(shí)耗力����。有些中間件在修改密碼時(shí)甚至要求整個(gè)應(yīng)用服務(wù)器重啟,對(duì)于企業(yè)高要求業(yè)務(wù)應(yīng)用系統(tǒng)根本不可行��。
想象一下銀行支付處理應(yīng)用程序����,它每秒處理數(shù)千筆交易。即使片刻的中斷也可能給企業(yè)帶來高昂的代價(jià)��。
這也是為什么很多企業(yè)不愿意做這件事����,致使許多應(yīng)用內(nèi)嵌賬號(hào)慢慢變成了服務(wù)賬號(hào),成為企業(yè)內(nèi)部達(dá)成共識(shí)的一個(gè)特例——這些賬號(hào)密碼可能自系統(tǒng)上線后都不會(huì)更改����。
內(nèi)嵌賬號(hào)改密難帶來高風(fēng)險(xiǎn)
這些長(zhǎng)期不改密的應(yīng)用內(nèi)嵌賬號(hào)�����,很容易就成為了黑客攻擊利用的目標(biāo)�,嚴(yán)重影響企業(yè)業(yè)務(wù)系統(tǒng)應(yīng)用的穩(wěn)定和敏感數(shù)據(jù)的安全����。
從企業(yè)內(nèi)部實(shí)際運(yùn)營(yíng)管理情況來看����,應(yīng)用內(nèi)嵌賬號(hào)的確帶來了高風(fēng)險(xiǎn)。
企業(yè)傳統(tǒng)管理應(yīng)用內(nèi)嵌賬號(hào)密碼的方法通常是通過配置文件或配置中心進(jìn)行管理����。這種管理方式相當(dāng)于將賬號(hào)密碼寫在一個(gè)文件里,雖然有的企業(yè)做了文件加密����,但解密也很容易。
何況企業(yè)內(nèi)部運(yùn)維人員在運(yùn)維部署時(shí)��,往往會(huì)接觸這些配置文件�,拿到賬號(hào)密碼��,并直接訪問數(shù)據(jù)庫���,帶來內(nèi)部潛在安全威脅。
從外部攻擊來看���,不法分子可以通過任何一個(gè)漏洞(更何況長(zhǎng)期不改密的內(nèi)嵌賬號(hào)本身就是一個(gè)很大的漏洞)���,登到服務(wù)器,找到放著企業(yè)內(nèi)嵌賬號(hào)密碼的那張表的配置文件�����,連接數(shù)據(jù)庫�����,即可直接將企業(yè)數(shù)據(jù)庫拖走�����。
例如�,某電商企業(yè)因長(zhǎng)期不改密且未加密存儲(chǔ)內(nèi)嵌賬號(hào)密碼,導(dǎo)致攻擊者通過暴力破解訪問后臺(tái)����,竊取了大量用戶數(shù)據(jù)����,并引發(fā)大規(guī)模信任危機(jī)�����。
因此���,內(nèi)嵌賬號(hào)密碼改密成為企業(yè)特權(quán)訪問管理過程中亟需解決的一個(gè)重點(diǎn)與難點(diǎn)���。
企業(yè)內(nèi)嵌賬號(hào)如何安全平穩(wěn)改密���?
面對(duì)改密難���、改密成本高、管理難�、安全風(fēng)險(xiǎn)大的內(nèi)嵌賬號(hào),企業(yè)到底該怎么辦�?
派拉軟件特權(quán)訪問管理平臺(tái)(PAM)推出新功能——內(nèi)嵌賬號(hào)密碼與訪問管理,實(shí)現(xiàn)企業(yè)內(nèi)嵌賬號(hào)密碼統(tǒng)一集中自動(dòng)化安全管理�,并重點(diǎn)針對(duì)企業(yè)“老大難”的應(yīng)用內(nèi)嵌賬號(hào)密碼進(jìn)行安全管控�����。
采用一套 Java 編程語言開發(fā)的軟件開發(fā)工具包(SDK)�����,幫助企業(yè)在應(yīng)用中快速實(shí)現(xiàn)內(nèi)嵌賬號(hào)的創(chuàng)建��、管理�����、認(rèn)證�、權(quán)限控制等功能����。
通過這一SDK,開發(fā)者可以集成內(nèi)嵌賬號(hào)的管理能力���,在不影響系統(tǒng)應(yīng)用正常運(yùn)行的基礎(chǔ)上��,把硬編碼的內(nèi)嵌賬號(hào)密碼替換掉���,并進(jìn)行高效地統(tǒng)一應(yīng)用內(nèi)嵌賬號(hào)密碼管理��。
利用“推拉”兩種模式�,進(jìn)行內(nèi)嵌賬號(hào)快速平穩(wěn)改密:
內(nèi)嵌賬號(hào)密碼更新由需要使用該密碼的系統(tǒng)��、應(yīng)用或服務(wù)主動(dòng)從PAM平臺(tái)密碼存儲(chǔ)庫中獲取密碼����。這種模式下,系統(tǒng)會(huì)定期或在密碼變更時(shí)�,主動(dòng)“拉取”最新的密碼信息。
密碼的更新由PAM平臺(tái)主動(dòng)推送給需要使用該密碼的系統(tǒng)或應(yīng)用����。在這種模式下,PAM平臺(tái)會(huì)根據(jù)預(yù)設(shè)的策略或定期周期�����,將最新的密碼推送到需要更新密碼的目標(biāo)系統(tǒng)中�。
針對(duì)企業(yè)關(guān)心的改密瞬間密碼切換問題���,派拉軟件PAM平臺(tái)也做了很好的處理��。
在新舊密碼切換瞬間���,若管理員沒有連接成功��,程序會(huì)自動(dòng)抓取連接失敗的錯(cuò)誤��,并快速重新從后臺(tái)拉出新密碼�����,重新連接���。
這個(gè)切換時(shí)間,派拉軟件做到了毫秒級(jí)���,幾乎不影響系統(tǒng)的正常運(yùn)行���。
整個(gè)內(nèi)嵌賬號(hào)密碼管理過程中,派拉軟件PAM平臺(tái)在便利性�����、可用性、安全性上都有突出表現(xiàn)�。
例如,在便利性上�,利用JVM JavaAgent的嵌入方式,一個(gè)Agent適配所有數(shù)據(jù)庫���,應(yīng)用無須打包或改造��,配置簡(jiǎn)單�,應(yīng)用開發(fā)方無學(xué)習(xí)成本�����,增強(qiáng)使用便利性���。
在可用性方面�����,系統(tǒng)采取本地內(nèi)存和文件加密雙緩存設(shè)計(jì),密碼失效會(huì)自動(dòng)獲取最新密碼�����,結(jié)合定時(shí)拉取密碼,最大保障密碼可用性����。
也就是說,即使在統(tǒng)管特權(quán)賬號(hào)密碼平臺(tái)受影響的情況下����,派拉軟件PAM平臺(tái)也能通過SDK的本地內(nèi)存和文件加密雙緩存能力,快速連接企業(yè)數(shù)據(jù)庫����,保障訪問通道的順暢。
即使整個(gè)平臺(tái)癱瘓了�����,PAM平臺(tái)提供的逃生機(jī)制���,也可以打開備份文件��,拿到里面的賬號(hào)密碼����,保障系統(tǒng)的可用性。
在安全方面��,mTLS雙向證書�,保障密碼傳輸安全;來源IP����、進(jìn)程路徑、程序MD5運(yùn)行時(shí)控制�����,保障配置無法冒用��,增加安全管控����。
最終,助力企業(yè)組織構(gòu)建覆蓋企業(yè)人和非人類身份賬號(hào)(內(nèi)嵌賬號(hào))的統(tǒng)一安全管理體系�,從容應(yīng)對(duì)復(fù)雜的人和非人類特權(quán)訪問管理難題,保障業(yè)務(wù)安全與穩(wěn)定運(yùn)行����。
員工身份與訪問控制eIAM
客戶身份與訪問控制cIAM
云身份治理IDaaS
智能身份認(rèn)證IDA
細(xì)粒度權(quán)限管理xBAC
API安全網(wǎng)關(guān)API-SGW
API安全監(jiān)測(cè)API-SD
API管理平臺(tái)APIM
ESB 企業(yè)服務(wù)總線
特權(quán)訪問管理PAM
數(shù)據(jù)庫訪問管理CQ
數(shù)據(jù)治理平臺(tái)PDMP
一體化零信任
運(yùn)維安全
數(shù)據(jù)安全治理
遠(yuǎn)程辦公安全
國產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺(tái)
數(shù)字化員工門戶
.png)
.png)
.png)
.png)
.png)
熱門文章
7*24小時(shí)服務(wù)
專屬安全顧問
Gartner推薦
IDC創(chuàng)新者
權(quán)威安全認(rèn)證
滬公網(wǎng)安備 31011502012922號(hào)