安全牛|下(xià)一代堡壘機 數據中心的特權身份銀行
發布時(shí)間: 2019.04.25 | 來(lái)源: 安全牛


4月11日,帕拉迪全國渠道(dào)合作(zuò)夥伴大(dà)會(huì)在杭州舉行。

從(cóng)2005年,發明(míng)并專注堡壘機的帕拉迪,到(dào)2018聚焦IAM(身份訪問管理(lǐ))的帕拉迪,“不跟風(fēng)、不浮躁、不盲從(cóng)” 的産品基因仍是這(zhè)家14年安全企業的重要内涵。

安全問題,不隻是技術,更多的是曆史原因,人性的弱點,還有成本。要把安全與管理(lǐ),融到(dào)一起做。

——帕拉迪總經理(lǐ)陳雲

對(duì)上(shàng)面這(zhè)段話(huà),陳雲的解讀是,人性的弱點指的是弱口令,講的是對(duì)賬号、權限的管控;出于成本考慮,至少要對(duì)企業的心髒——數據庫,做針對(duì)性防護;針對(duì)企業數據中心,要在保障運維低(dī)成本、靈活、穩定的前提下(xià)保證安全,同時(shí)大(dà)量的日志數據,可以用(yòng)來(lái)做分析,輔助運維和(hé)安全工(gōng)作(zuò)的管理(lǐ)和(hé)自(zì)動化。這(zhè)是陳雲想的四個方向。這(zhè)四個方向,從(cóng)品牌角度來(lái)看(kàn),隻有堡壘機還留在帕拉迪,剩下(xià)的IAM、數據庫安全、日志分析都在帕拉迪。



“今年下(xià)半年,帕拉迪将正式成爲帕拉迪的全資子公司。”

不難看(kàn)出,主打IAM的帕拉迪将成爲陳雲之後的重要戰略方向,是未來(lái)。

但(dàn)有意思的是,對(duì)于帕拉迪而言,堡壘機目前還不是過去。帕拉迪認爲,堡壘機将會(huì)發展爲獨立與數據中心、以賬号爲中心的統一安全管理(lǐ)平台。更重要的是,堡壘機還要能(néng)與自(zì)動化運維平台、自(zì)動化設備打通,成爲一切對(duì)數據中心資産訪問行爲的必經通道(dào)。

基于此,在此次大(dà)會(huì)上(shàng),除了(le)溝通其渠道(dào)和(hé)銷售戰略外(wài),帕拉迪還發布了(le)一個重要的産品-下(xià)一代堡壘機(PAM),以滿足自(zì)動化運維時(shí)代,企業數據中心對(duì)賬号管理(lǐ)和(hé)通道(dào)控制的需求。


構建數據中心的特權賬号“銀行”

帕拉迪技術總監王楓表示,傳統堡壘機面臨的問題,以及堡壘機在數據中心定位的改變,是此次發布下(xià)一代堡壘機的重要原因。

總的來(lái)看(kàn),傳統堡壘機面臨以下(xià)困境: 

o 無法支持大(dà)并發和(hé)集群擴展;

o無法支持自(zì)動化平台特權賬号的使用(yòng),無法配合ITSM(IT服務管理(lǐ))、CMDB(配置管理(lǐ)數據庫)等系統的流程化運維;

o  無法支持移動端的運維和(hé)權限控制;

o無法支持可視(shì)化授權;

o 無法自(zì)動收集賬戶信息。

帕拉迪認爲,下(xià)一代堡壘機,即特權賬戶管理(lǐ)中心,要成爲數據中心的 “特權身份銀行”,就必須實現(xiàn)通過可編程的API對(duì)接自(zì)動化運維平台,保證其對(duì)資産訪問權限的調用(yòng);同時(shí),針對(duì)特權賬号安全,可以進行主動安全評估,以及便捷的管理(lǐ);再結合數據上(shàng)傳/下(xià)載通道(dào)的管控,實現(xiàn)安全閉環。

 

作(zuò)爲傳統堡壘機的開(kāi)創者,從(cóng)技術層面,王楓認爲,帕拉迪的重要優勢或門(mén)檻有兩點,一是堡壘機産品本身的成熟穩定,這(zhè)點在對(duì)超大(dà)集群部署的能(néng)力中就有體現(xiàn)。

“我們銀行的客戶很(hěn)多,他(tā)們非常看(kàn)重堡壘機的可靠性。”

第二點,就是堡壘機本身的安全。

據王楓介紹,帕拉迪的堡壘機是多家ICT大(dà)廠(chǎng)OEM的首選,特别是出口海外(wài)市場。不僅是因爲其性能(néng)和(hé)能(néng)力,在安全層面,帕拉迪也(yě)下(xià)足了(le)功夫。

國外(wài)市場對(duì)堡壘機本身的安全性尤其重視(shì),當初,在産品的安全加固就用(yòng)了(le)我們一年半的研發精力。我們支持8-10種身份認證模式。同時(shí),我們将堡壘機看(kàn)作(zuò)一個後端應用(yòng),所以有一整套的安全加強方案,包括針對(duì)堡壘機的WAF,可以實現(xiàn)參數和(hé)url的白(bái)名單,以及針對(duì)堡壘機數據庫的安全監測系統。”

無論是成熟穩定,還是安全性,這(zhè)些(xiē)都是開(kāi)源堡壘難以短時(shí)間實現(xiàn)的。

“堡壘機不會(huì)做運維自(zì)動化,那不是我們熟悉的領域。但(dàn)是對(duì)于現(xiàn)在大(dà)熱的自(zì)動化運維平台,客戶高(gāo)層也(yě)是持不信任态度的,所以從(cóng)客戶層面就會(huì)樂于推動這(zhè)些(xiē)平台和(hé)堡壘機的對(duì)接。統一的賬戶安全體系,特别是已經在用(yòng)堡壘機的客戶,這(zhè)是一層重要安全保障。”



此外(wài),對(duì)于堡壘機和(hé)IAM的關系,王楓認爲,堡壘機受運維協議(yì)的帶寬限制,更關注運維人員的訪問,而IAM是囊括所有業務線的身份體系,可以說堡壘機是IAM的一個子模塊。但(dàn)堡壘機對(duì)身份、權限的管控,以及訪問行爲的審計(jì)和(hé)監測(也(yě)正是4A的内容),追溯到(dào)自(zì)然人的能(néng)力,可以擴展的更大(dà)。這(zhè)個需求也(yě)是确實存在的。

目前,我們IAM方案的客戶政府機構居多。比如社保局、區(qū)政府等。雖然他(tā)們的身份建設滞後,有大(dà)量的老(lǎo)舊系統,但(dàn)我們的IAM方案是外(wài)挂式,不需要和(hé)這(zhè)些(xiē)系統開(kāi)發對(duì)接,同時(shí)自(zì)身又有安全屬性,還有很(hěn)多場景功能(néng)開(kāi)關可供選擇,所以非常适合他(tā)們。”

安全牛評:

 堡壘機已經是非常成熟的産品,但(dàn)是目前的痛點和(hé)客戶的需求方向也(yě)很(hěn)清晰。作(zuò)爲國内堡壘機品牌領頭羊,更契合客戶對(duì)自(zì)動化和(hé)移動化運維的需求場景及趨勢,更好(hǎo)的完成從(cóng)堡壘機到(dào)IAM的過渡使命,是帕拉迪此次發布“下(xià)一代堡壘機”的兩個重要意義。從(cóng)品牌策略來(lái)看(kàn),也(yě)是對(duì)應且明(míng)确的。帕拉迪已經成爲國内堡壘機的重要品牌,結合國内重要的合規市場需求,這(zhè)點很(hěn)難丢棄,但(dàn)是除此以外(wài),圍繞數據庫和(hé)身份而不局限在特權賬号,IAM才是更廣闊的未來(lái)。


Copyright © 2019 All Rights Reserved Designed
杭州安存網絡科技有限公司