4月11日，帕拉迪全國(guó)渠道(dào)合作夥伴大會在杭州舉行(xíng)。

從2005年(nián)，發明并專注堡壘機(jī)的(de)帕拉迪，到2018聚焦IAM（身份訪問管理(lǐ)）的(de)帕拉迪，“不跟風、不浮躁、不盲從” 的(de)産品基因仍是這家14年(nián)安全企業的(de)重要內(nèi)涵。

安全問題，不隻是技術，更多的(de)是曆史原因，人性的(de)弱點，還有(yǒu)成本。要把安全與管理(lǐ)，融到一(yī)起做(zuò)。

——帕拉迪總經理(lǐ)陳雲

對上面這段話，陳雲的(de)解讀是，人性的(de)弱點指的(de)是弱口令，講的(de)是對賬号、權限的(de)管控；出于成本考慮，至少要對企業的(de)心髒——數據庫，做(zuò)針對性防護；針對企業數據中心，要在保障運維低(dī)成本、靈活、穩定的(de)前提下保證安全，同時大量的(de)日志數據，可(kě)以用來做(zuò)分析，輔助運維和(hé)安全工作的(de)管理(lǐ)和(hé)自(zì)動化。這是陳雲想的(de)四個方向。這四個方向，從品牌角度來看，隻有(yǒu)堡壘機(jī)還留在帕拉迪，剩下的(de)IAM、數據庫安全、日志分析都在帕拉迪。

“今年(nián)下半年(nián)，帕拉迪将正式成為(wèi)帕拉迪的(de)全資子(zǐ)公司。”

不難看出，主打IAM的(de)帕拉迪将成為(wèi)陳雲之後的(de)重要戰略方向，是未來。

但有(yǒu)意思的(de)是，對于帕拉迪而言，堡壘機(jī)目前還不是過去(qù)。帕拉迪認為(wèi)，堡壘機(jī)将會發展為(wèi)獨立與數據中心、以賬号為(wèi)中心的(de)統一(yī)安全管理(lǐ)平台。更重要的(de)是，堡壘機(jī)還要能與自(zì)動化運維平台、自(zì)動化設備打通，成為(wèi)一(yī)切對數據中心資産訪問行(xíng)為(wèi)的(de)必經通道(dào)。

基于此，在此次大會上，除了溝通其渠道(dào)和(hé)銷售戰略外，帕拉迪還發布了一(yī)個重要的(de)産品-下一(yī)代堡壘機(jī)（PAM），以滿足自(zì)動化運維時代，企業數據中心對賬号管理(lǐ)和(hé)通道(dào)控制的(de)需求。

構建數據中心的(de)特權賬号“銀行(xíng)”

帕拉迪技術總監王楓表示，傳統堡壘機(jī)面臨的(de)問題，以及堡壘機(jī)在數據中心定位的(de)改變，是此次發布下一(yī)代堡壘機(jī)的(de)重要原因。

總的(de)來看，傳統堡壘機(jī)面臨以下困境： 

o 無法支持大并發和(hé)集群擴展；

o無法支持自(zì)動化平台特權賬号的(de)使用，無法配合ITSM（IT服務管理(lǐ)）、CMDB（配置管理(lǐ)數據庫）等系統的(de)流程化運維；

o  無法支持移動端的(de)運維和(hé)權限控制；

o無法支持可(kě)視(shì)化授權；

o 無法自(zì)動收集賬戶信息。

帕拉迪認為(wèi)，下一(yī)代堡壘機(jī)，即特權賬戶管理(lǐ)中心，要成為(wèi)數據中心的(de) “特權身份銀行(xíng)”，就必須實現通過可(kě)編程的(de)API對接自(zì)動化運維平台，保證其對資産訪問權限的(de)調用；同時，針對特權賬号安全，可(kě)以進行(xíng)主動安全評估，以及便捷的(de)管理(lǐ)；再結合數據上傳/下載通道(dào)的(de)管控，實現安全閉環。

 

作為(wèi)傳統堡壘機(jī)的(de)開創者，從技術層面，王楓認為(wèi)，帕拉迪的(de)重要優勢或門檻有(yǒu)兩點，一(yī)是堡壘機(jī)産品本身的(de)成熟穩定，這點在對超大集群部署的(de)能力中就有(yǒu)體現。

“我們(men)銀行(xíng)的(de)客戶很多，他們(men)非常看重堡壘機(jī)的(de)可(kě)靠性。”

第二點，就是堡壘機(jī)本身的(de)安全。

據王楓介紹，帕拉迪的(de)堡壘機(jī)是多家ICT大廠OEM的(de)首選，特别是出口海外市(shì)場。不僅是因為(wèi)其性能和(hé)能力，在安全層面，帕拉迪也下足了功夫。

“國(guó)外市(shì)場對堡壘機(jī)本身的(de)安全性尤其重視(shì)，當初，在産品的(de)安全加固就用了我們(men)一(yī)年(nián)半的(de)研發精力。我們(men)支持8-10種身份認證模式。同時，我們(men)将堡壘機(jī)看作一(yī)個後端應用，所以有(yǒu)一(yī)整套的(de)安全加強方案，包括針對堡壘機(jī)的(de)WAF，可(kě)以實現參數和(hé)url的(de)白名單，以及針對堡壘機(jī)數據庫的(de)安全監測系統。”

無論是成熟穩定，還是安全性，這些都是開源堡壘難以短(duǎn)時間實現的(de)。

“堡壘機(jī)不會做(zuò)運維自(zì)動化，那不是我們(men)熟悉的(de)領域。但是對于現在大熱的(de)自(zì)動化運維平台，客戶高(gāo)層也是持不信任态度的(de)，所以從客戶層面就會樂(yuè)于推動這些平台和(hé)堡壘機(jī)的(de)對接。統一(yī)的(de)賬戶安全體系，特别是已經在用堡壘機(jī)的(de)客戶，這是一(yī)層重要安全保障。”

此外，對于堡壘機(jī)和(hé)IAM的(de)關系，王楓認為(wèi)，堡壘機(jī)受運維協議的(de)帶寬限制，更關注運維人員的(de)訪問，而IAM是囊括所有(yǒu)業務線的(de)身份體系，可(kě)以說堡壘機(jī)是IAM的(de)一(yī)個子(zǐ)模塊。但堡壘機(jī)對身份、權限的(de)管控，以及訪問行(xíng)為(wèi)的(de)審計和(hé)監測（也正是4A的(de)內(nèi)容），追溯到自(zì)然人的(de)能力，可(kě)以擴展的(de)更大。這個需求也是确實存在的(de)。

“目前，我們(men)IAM方案的(de)客戶政府機(jī)構居多。比如(rú)社保局、區政府等。雖然他們(men)的(de)身份建設滞後，有(yǒu)大量的(de)老舊(jiù)系統，但我們(men)的(de)IAM方案是外挂式，不需要和(hé)這些系統開發對接，同時自(zì)身又有(yǒu)安全屬性，還有(yǒu)很多場景功能開關可(kě)供選擇，所以非常适合他們(men)。”

安全牛評：

 堡壘機(jī)已經是非常成熟的(de)産品，但是目前的(de)痛點和(hé)客戶的(de)需求方向也很清晰。作為(wèi)國(guó)內(nèi)堡壘機(jī)品牌領頭羊，更契合客戶對自(zì)動化和(hé)移動化運維的(de)需求場景及趨勢，更好的(de)完成從堡壘機(jī)到IAM的(de)過渡使命，是帕拉迪此次發布“下一(yī)代堡壘機(jī)”的(de)兩個重要意義。從品牌策略來看，也是對應且明确的(de)。帕拉迪已經成為(wèi)國(guó)內(nèi)堡壘機(jī)的(de)重要品牌，結合國(guó)內(nèi)重要的(de)合規市(shì)場需求，這點很難丢棄，但是除此以外，圍繞數據庫和(hé)身份而不局限在特權賬号，IAM才是更廣闊的(de)未來。