51CTO|為(wèi)企業安全智能運維賦能,帕拉迪推下一(yī)代堡壘機(jī)PAM
發布時間:
2019.04.25 | 來源:
51CTO
4月11日,在2019年(nián)帕拉迪全國(guó)渠道(dào)合作夥伴大會上,帕拉迪總經理(lǐ)陳雲宣布帕拉迪下一(yī)代堡壘機(jī)(PAM)正式發布,以滿足自(zì)動化運維時代,企業數據中心對賬号管理(lǐ)和(hé)通道(dào)控制的(de)需求,為(wèi)企業安全智能運維賦能。
不熟悉帕拉迪和(hé)帕拉迪的(de)人也許會問:為(wèi)什麽帕拉迪的(de)大會,發布的(de)是帕拉迪的(de)産品?答案就是,帕拉迪和(hé)帕拉迪本是同源。2005年(nián),陳雲成立杭州帕拉迪網絡科(kē)技有(yǒu)限公司,并在當年(nián)發布了堡壘機(jī)。2015年(nián),陳雲意識到用戶真正需要的(de)是IAM(Identity and Access Management 即身份認證與訪問安全管理(lǐ)),于是又創立了專注于數據庫應用安全領域的(de)杭州帕拉迪網絡科(kē)技有(yǒu)限公司。
陳雲認為(wèi),網絡安全有(yǒu)三個“癌症”:安全漏洞、人性的(de)弱點和(hé)數據庫安全問題。對抗網絡安全“癌症”需要以用戶的(de)問題為(wèi)導向,從三個方向出發:防護效果、解決安全風險帶來的(de)時延問題、保證用戶業務系統的(de)穩定。“安全并不僅僅是技術原因,更多的(de)是來源于曆史原因和(hé)管理(lǐ)原因,要把這些原因統一(yī)考慮,必須把安全和(hé)管理(lǐ)融為(wèi)一(yī)體來做(zuò)。”
也正是出于這樣的(de)考慮,帕拉迪重在安全管理(lǐ),持續專注于數據庫安全、體系安全、日志大數據分析三大方向。而作為(wèi)安全管理(lǐ)的(de)一(yī)個重要角色,IAM的(de)一(yī)個重要子(zǐ)模塊,堡壘機(jī)将仍舊(jiù)由帕拉迪繼續深耕。“今年(nián)下半年(nián),帕拉迪将正式成為(wèi)帕拉迪的(de)全資子(zǐ)公司。”陳雲在演講中還宣布。
那麽,什麽是下一(yī)代堡壘機(jī)?下一(yī)代堡壘機(jī)具有(yǒu)哪些能力?帕拉迪下一(yī)代堡壘機(jī)PAM又添加了哪些新的(de)元素呢(ne)?
新時代需要新的(de)堡壘機(jī)
随着IT技術的(de)不斷發展,數據中心一(yī)直在不斷演進。在主機(jī)層面,從傳統物理(lǐ)服務器到虛拟機(jī),到到微服務架構;在網絡層面,從傳統網絡到現在的(de)SDNS;在存儲層面,從倉儲到數據湖;在數據中心的(de)運維層面,從人工運維到現在IT運維自(zì)動化,開發自(zì)動化,DevOps和(hé)AIOps等等概念的(de)出現,使得現有(yǒu)的(de)傳統堡壘機(jī)無法适應這些IT基礎架構的(de)變化,無法滿足用戶的(de)安全需求,新時代需要新的(de)堡壘機(jī)。
對此,帕拉迪技術總監王楓也表示,堡壘街亟需變革升級。曆經多年(nián)發展,雖然堡壘機(jī)已形成了較為(wèi)完善的(de)賬号管理(lǐ)、權限管理(lǐ)和(hé)審計體系,但是依舊(jiù)存在諸多缺陷:
一(yī)是,單台設備無法支持多用戶大并發問題,無法支持集群擴展。
二是,管理(lǐ)不方便,授權需要添加策略,無法可(kě)視(shì)化授權,即點擊及實現授權,人資産分别以樹狀呈現。
三是,訪問終端局限,移動物聯網時代,無法支持手機(jī)運維及對數據中心資産及權限的(de)實時掌控。
四是,無法自(zì)動收集賬号,當目标資産賬号變動時,堡壘機(jī)無法知曉和(hé)響應。
五是,無法支持自(zì)動化平台的(de)特權賬号使用,自(zì)動化平台的(de)運維行(xíng)為(wèi)成了法外之地(dì)。
六是,無法與ITSM、CMDB、DevOps、網管平台等系統聯動配合流程化運維。
下一(yī)代堡壘機(jī)是什麽樣的(de)呢(ne)?
該如(rú)何解決以上難題,滿足未來數據中心的(de)安全管理(lǐ)需求呢(ne)?下一(yī)代堡壘機(jī)應運而生。
“所謂的(de)下一(yī)代,更形象來講是新一(yī)代,新一(yī)代堡壘機(jī)針對新一(yī)代數據中心的(de)新需求,滿足現有(yǒu)IT基礎架構。”帕拉迪技術總監王楓認為(wèi),下一(yī)代堡壘機(jī)強調特權賬号管理(lǐ)中心,并且需要具備以下六大屬性,才能稱為(wèi)下一(yī)代堡壘機(jī)。
屬性一(yī):提供可(kě)編程環境通道(dào)。可(kě)進行(xíng)自(zì)動化程序穿透,通過API接口,讓運維自(zì)動化不再是法外之地(dì),整個自(zì)動化過程可(kě)管理(lǐ)可(kě)審計。
屬性二:支持高(gāo)可(kě)靠的(de)集群和(hé)分布式部署。數據中心體量越來越大,相應的(de)堡壘機(jī)也需要與之相适應,需要支持任意環境下的(de)集群和(hé)分布式部署。
屬性三:支持移動管理(lǐ)和(hé)運維BYOD。移動互聯時代,移動管理(lǐ)和(hé)運維逐漸成為(wèi)剛需,下一(yī)代堡壘機(jī)PAM可(kě)通過專用App從管理(lǐ)者和(hé)運維者角度進行(xíng)多方位管理(lǐ)和(hé)操作。
屬性四:數據安全控制。數據安全是企業關注的(de)核心,要在運維過程中解決數據的(de)未授權拷貝及外洩問題。
屬性五:賬号安全管理(lǐ)。對服務器和(hé)網絡中的(de)各種賬号都能一(yī)鍵收集,并對其狀态一(yī)目了然,并做(zuò)到最全單點登錄。
屬性六:高(gāo)體驗,高(gāo)便捷。對賬号權限可(kě)自(zì)定義管理(lǐ),支持多浏覽器,為(wèi)客戶提供可(kě)視(shì)化權限矩陣展示,提供一(yī)站式安全設置等。
王楓表示:“堡壘機(jī)的(de)重要程度高(gāo)于網絡防火牆。它管理(lǐ)所有(yǒu)權限,是高(gāo)頻的(de)安全設備,使用便捷且支持各種應用環境,并且其自(zì)身安全性也極為(wèi)重要。好的(de)下一(yī)代堡壘機(jī)要成熟穩定、安全可(kě)靠、技術先進。”
為(wèi)企業安全智能運維賦能,帕拉迪下一(yī)代堡壘機(jī)PAM發布
那麽,帕拉迪的(de)下一(yī)代堡壘機(jī)PAM囊括了哪些功能?又添加了哪些新的(de)元素呢(ne)?
王楓告訴記者,帕拉迪下一(yī)代堡壘機(jī)PAM不僅具有(yǒu)傳統堡壘機(jī)的(de)全部功能,比如(rú):單點登錄、多因素身份鑒别技術、OCR标題識别技術、數據同步技術以及RemoteApp無縫應用等。“還将為(wèi)數據中心基礎設施提供統一(yī)的(de)、獨立的(de)帳号管理(lǐ)及通道(dào)控制服務,數據中心基礎設施可(kě)編程,至此,SDN、SDS、ITSM、CMDB、自(zì)動化運維、各網管軟件等,将可(kě)通過下一(yī)代堡壘機(jī)對數據中心基礎設施進行(xíng)編程,實現控制閉環及AI處理(lǐ)。”
王楓以金融行(xíng)業應用為(wèi)例解釋說,随着電子(zǐ)銀行(xíng)業務的(de)蓬勃發展,現在很多的(de)銀行(xíng)IT架構投入的(de)人力物力在增加,引入各種自(zì)動化技術,通過自(zì)動化提高(gāo)工作效率。而與此同時,安全風險也悄然而至,自(zì)動化變成了安全漏洞點。自(zì)動化平台為(wèi)了提供便捷交付業務而生,卻沒有(yǒu)更多的(de)防護措施,因此變成了不透明的(de)黑盒子(zǐ),比如(rú)腳本是否被惡意利用,自(zì)動化平台外不得而知。一(yī)旦出現問題,管理(lǐ)員很難把自(zì)動化平台權限快速收回終止業務。而通過下一(yī)代堡壘機(jī),管理(lǐ)員可(kě)以一(yī)鍵收回權限,切斷不安全的(de)通信,然後進行(xíng)适當的(de)人工幹預。
除此以外,在本次大會上,王楓還對數據中心數據安全縱深防方案、數據庫全生命周期安全解決方案,進行(xíng)了詳細的(de)解讀,分析了馬上要發布實施的(de)等級保護2.0的(de)相關要求,給出了相關解決方案。