51CTO|爲企業安全智能(néng)運維賦能(néng),帕拉迪推下(xià)一代堡壘機PAM
發布時(shí)間:
2019.04.25 | 來(lái)源:
51CTO
4月11日,在2019年帕拉迪全國渠道(dào)合作(zuò)夥伴大(dà)會(huì)上(shàng),帕拉迪總經理(lǐ)陳雲宣布帕拉迪下(xià)一代堡壘機(PAM)正式發布,以滿足自(zì)動化運維時(shí)代,企業數據中心對(duì)賬号管理(lǐ)和(hé)通道(dào)控制的需求,爲企業安全智能(néng)運維賦能(néng)。
不熟悉帕拉迪和(hé)帕拉迪的人也(yě)許會(huì)問:爲什(shén)麽帕拉迪的大(dà)會(huì),發布的是帕拉迪的産品?答(dá)案就是,帕拉迪和(hé)帕拉迪本是同源。2005年,陳雲成立杭州安存網絡科技有限公司,并在當年發布了(le)堡壘機。2015年,陳雲意識到(dào)用(yòng)戶真正需要的是IAM(Identity and Access Management 即身份認證與訪問安全管理(lǐ)),于是又創立了(le)專注于數據庫應用(yòng)安全領域的杭州安存網絡科技有限公司。
陳雲認爲,網絡安全有三個“癌症”:安全漏洞、人性的弱點和(hé)數據庫安全問題。對(duì)抗網絡安全“癌症”需要以用(yòng)戶的問題爲導向,從(cóng)三個方向出發:防護效果、解決安全風(fēng)險帶來(lái)的時(shí)延問題、保證用(yòng)戶業務系統的穩定。“安全并不僅僅是技術原因,更多的是來(lái)源于曆史原因和(hé)管理(lǐ)原因,要把這(zhè)些(xiē)原因統一考慮,必須把安全和(hé)管理(lǐ)融爲一體來(lái)做。”
也(yě)正是出于這(zhè)樣的考慮,帕拉迪重在安全管理(lǐ),持續專注于數據庫安全、體系安全、日志大(dà)數據分析三大(dà)方向。而作(zuò)爲安全管理(lǐ)的一個重要角色,IAM的一個重要子模塊,堡壘機将仍舊由帕拉迪繼續深耕。“今年下(xià)半年,帕拉迪将正式成爲帕拉迪的全資子公司。”陳雲在演講中還宣布。
那麽,什(shén)麽是下(xià)一代堡壘機?下(xià)一代堡壘機具有哪些(xiē)能(néng)力?帕拉迪下(xià)一代堡壘機PAM又添加了(le)哪些(xiē)新的元素呢(ne)?
新時(shí)代需要新的堡壘機
随着IT技術的不斷發展,數據中心一直在不斷演進。在主機層面,從(cóng)傳統物理(lǐ)服務器到(dào)虛拟機,到(dào)到(dào)微服務架構;在網絡層面,從(cóng)傳統網絡到(dào)現(xiàn)在的SDNS;在存儲層面,從(cóng)倉儲到(dào)數據湖;在數據中心的運維層面,從(cóng)人工(gōng)運維到(dào)現(xiàn)在IT運維自(zì)動化,開(kāi)發自(zì)動化,DevOps和(hé)AIOps等等概念的出現(xiàn),使得現(xiàn)有的傳統堡壘機無法适應這(zhè)些(xiē)IT基礎架構的變化,無法滿足用(yòng)戶的安全需求,新時(shí)代需要新的堡壘機。
對(duì)此,帕拉迪技術總監王楓也(yě)表示,堡壘街亟需變革升級。曆經多年發展,雖然堡壘機已形成了(le)較爲完善的賬号管理(lǐ)、權限管理(lǐ)和(hé)審計(jì)體系,但(dàn)是依舊存在諸多缺陷:
一是,單台設備無法支持多用(yòng)戶大(dà)并發問題,無法支持集群擴展。
二是,管理(lǐ)不方便,授權需要添加策略,無法可視(shì)化授權,即點擊及實現(xiàn)授權,人資産分别以樹狀呈現(xiàn)。
三是,訪問終端局限,移動物聯網時(shí)代,無法支持手機運維及對(duì)數據中心資産及權限的實時(shí)掌控。
四是,無法自(zì)動收集賬号,當目标資産賬号變動時(shí),堡壘機無法知(zhī)曉和(hé)響應。
五是,無法支持自(zì)動化平台的特權賬号使用(yòng),自(zì)動化平台的運維行爲成了(le)法外(wài)之地。
六是,無法與ITSM、CMDB、DevOps、網管平台等系統聯動配合流程化運維。
下(xià)一代堡壘機是什(shén)麽樣的呢(ne)?
該如何解決以上(shàng)難題,滿足未來(lái)數據中心的安全管理(lǐ)需求呢(ne)?下(xià)一代堡壘機應運而生。
“所謂的下(xià)一代,更形象來(lái)講是新一代,新一代堡壘機針對(duì)新一代數據中心的新需求,滿足現(xiàn)有IT基礎架構。”帕拉迪技術總監王楓認爲,下(xià)一代堡壘機強調特權賬号管理(lǐ)中心,并且需要具備以下(xià)六大(dà)屬性,才能(néng)稱爲下(xià)一代堡壘機。
屬性一:提供可編程環境通道(dào)。可進行自(zì)動化程序穿透,通過API接口,讓運維自(zì)動化不再是法外(wài)之地,整個自(zì)動化過程可管理(lǐ)可審計(jì)。
屬性二:支持高(gāo)可靠的集群和(hé)分布式部署。數據中心體量越來(lái)越大(dà),相應的堡壘機也(yě)需要與之相适應,需要支持任意環境下(xià)的集群和(hé)分布式部署。
屬性三:支持移動管理(lǐ)和(hé)運維BYOD。移動互聯時(shí)代,移動管理(lǐ)和(hé)運維逐漸成爲剛需,下(xià)一代堡壘機PAM可通過專用(yòng)App從(cóng)管理(lǐ)者和(hé)運維者角度進行多方位管理(lǐ)和(hé)操作(zuò)。
屬性四:數據安全控制。數據安全是企業關注的核心,要在運維過程中解決數據的未授權拷貝及外(wài)洩問題。
屬性五:賬号安全管理(lǐ)。對(duì)服務器和(hé)網絡中的各種賬号都能(néng)一鍵收集,并對(duì)其狀态一目了(le)然,并做到(dào)最全單點登錄。
屬性六:高(gāo)體驗,高(gāo)便捷。對(duì)賬号權限可自(zì)定義管理(lǐ),支持多浏覽器,爲客戶提供可視(shì)化權限矩陣展示,提供一站(zhàn)式安全設置等。
王楓表示:“堡壘機的重要程度高(gāo)于網絡防火牆。它管理(lǐ)所有權限,是高(gāo)頻的安全設備,使用(yòng)便捷且支持各種應用(yòng)環境,并且其自(zì)身安全性也(yě)極爲重要。好(hǎo)的下(xià)一代堡壘機要成熟穩定、安全可靠、技術先進。”
爲企業安全智能(néng)運維賦能(néng),帕拉迪下(xià)一代堡壘機PAM發布
那麽,帕拉迪的下(xià)一代堡壘機PAM囊括了(le)哪些(xiē)功能(néng)?又添加了(le)哪些(xiē)新的元素呢(ne)?
王楓告訴記者,帕拉迪下(xià)一代堡壘機PAM不僅具有傳統堡壘機的全部功能(néng),比如:單點登錄、多因素身份鑒别技術、OCR标題識别技術、數據同步技術以及RemoteApp無縫應用(yòng)等。“還将爲數據中心基礎設施提供統一的、獨立的帳号管理(lǐ)及通道(dào)控制服務,數據中心基礎設施可編程,至此,SDN、SDS、ITSM、CMDB、自(zì)動化運維、各網管軟件等,将可通過下(xià)一代堡壘機對(duì)數據中心基礎設施進行編程,實現(xiàn)控制閉環及AI處理(lǐ)。”
王楓以金(jīn)融行業應用(yòng)爲例解釋說,随着電子銀行業務的蓬勃發展,現(xiàn)在很(hěn)多的銀行IT架構投入的人力物力在增加,引入各種自(zì)動化技術,通過自(zì)動化提高(gāo)工(gōng)作(zuò)效率。而與此同時(shí),安全風(fēng)險也(yě)悄然而至,自(zì)動化變成了(le)安全漏洞點。自(zì)動化平台爲了(le)提供便捷交付業務而生,卻沒有更多的防護措施,因此變成了(le)不透明(míng)的黑盒子,比如腳本是否被惡意利用(yòng),自(zì)動化平台外(wài)不得而知(zhī)。一旦出現(xiàn)問題,管理(lǐ)員很(hěn)難把自(zì)動化平台權限快(kuài)速收回終止業務。而通過下(xià)一代堡壘機,管理(lǐ)員可以一鍵收回權限,切斷不安全的通信,然後進行适當的人工(gōng)幹預。
除此以外(wài),在本次大(dà)會(huì)上(shàng),王楓還對(duì)數據中心數據安全縱深防方案、數據庫全生命周期安全解決方案,進行了(le)詳細的解讀,分析了(le)馬上(shàng)要發布實施的等級保護2.0的相關要求,給出了(le)相關解決方案。