安全牛|下一(yī)代堡壘機(jī) 數據中心的(de)特權身份銀行(xíng)
發布時間: 2019.04.25 | 來源: 安全牛


4月11日,帕拉迪全國(guó)渠道(dào)合作夥伴大會在杭州舉行(xíng)。

2005年(nián),發明并專注堡壘機(jī)的(de)帕拉迪,到2018聚焦IAM(身份訪問管理(lǐ))的(de)帕拉迪,“不跟風、不浮躁、不盲從” 的(de)産品基因仍是這家14年(nián)安全企業的(de)重要內(nèi)涵。

安全問題,不隻是技術,更多的(de)是曆史原因,人性的(de)弱點,還有(yǒu)成本。要把安全與管理(lǐ),融到一(yī)起做(zuò)。

——帕拉迪總經理(lǐ)陳雲

對上面這段話,陳雲的(de)解讀是,人性的(de)弱點指的(de)是弱口令,講的(de)是對賬号、權限的(de)管控;出于成本考慮,至少要對企業的(de)心髒——數據庫,做(zuò)針對性防護;針對企業數據中心,要在保障運維低(dī)成本、靈活、穩定的(de)前提下保證安全,同時大量的(de)日志數據,可(kě)以用來做(zuò)分析,輔助運維和(hé)安全工作的(de)管理(lǐ)和(hé)自(zì)動化。這是陳雲想的(de)四個方向。這四個方向,從品牌角度來看,隻有(yǒu)堡壘機(jī)還留在帕拉迪,剩下的(de)IAM、數據庫安全、日志分析都在帕拉迪。



“今年(nián)下半年(nián),帕拉迪将正式成為(wèi)帕拉迪的(de)全資子(zǐ)公司。”

不難看出,主打IAM的(de)帕拉迪将成為(wèi)陳雲之後的(de)重要戰略方向,是未來。

但有(yǒu)意思的(de)是,對于帕拉迪而言,堡壘機(jī)目前還不是過去(qù)。帕拉迪認為(wèi),堡壘機(jī)将會發展為(wèi)獨立與數據中心、以賬号為(wèi)中心的(de)統一(yī)安全管理(lǐ)平台。更重要的(de)是,堡壘機(jī)還要能與自(zì)動化運維平台、自(zì)動化設備打通,成為(wèi)一(yī)切對數據中心資産訪問行(xíng)為(wèi)的(de)必經通道(dào)。

基于此,在此次大會上,除了溝通其渠道(dào)和(hé)銷售戰略外,帕拉迪還發布了一(yī)個重要的(de)産品-下一(yī)代堡壘機(jī)(PAM),以滿足自(zì)動化運維時代,企業數據中心對賬号管理(lǐ)和(hé)通道(dào)控制的(de)需求。


構建數據中心的(de)特權賬号“銀行(xíng)”

帕拉迪技術總監王楓表示,傳統堡壘機(jī)面臨的(de)問題,以及堡壘機(jī)在數據中心定位的(de)改變,是此次發布下一(yī)代堡壘機(jī)的(de)重要原因。

總的(de)來看,傳統堡壘機(jī)面臨以下困境: 

o 無法支持大并發和(hé)集群擴展;

o無法支持自(zì)動化平台特權賬号的(de)使用,無法配合ITSM(IT服務管理(lǐ))、CMDB(配置管理(lǐ)數據庫)等系統的(de)流程化運維;

o  無法支持移動端的(de)運維和(hé)權限控制;

o無法支持可(kě)視(shì)化授權;

o 無法自(zì)動收集賬戶信息。

帕拉迪認為(wèi),下一(yī)代堡壘機(jī),即特權賬戶管理(lǐ)中心,要成為(wèi)數據中心的(de) “特權身份銀行(xíng)”,就必須實現通過可(kě)編程的(de)API對接自(zì)動化運維平台,保證其對資産訪問權限的(de)調用;同時,針對特權賬号安全,可(kě)以進行(xíng)主動安全評估,以及便捷的(de)管理(lǐ);再結合數據上傳/下載通道(dào)的(de)管控,實現安全閉環。

 

作為(wèi)傳統堡壘機(jī)的(de)開創者,從技術層面,王楓認為(wèi),帕拉迪的(de)重要優勢或門檻有(yǒu)兩點,一(yī)是堡壘機(jī)産品本身的(de)成熟穩定,這點在對超大集群部署的(de)能力中就有(yǒu)體現。

“我們(men)銀行(xíng)的(de)客戶很多,他們(men)非常看重堡壘機(jī)的(de)可(kě)靠性。”

第二點,就是堡壘機(jī)本身的(de)安全。

據王楓介紹,帕拉迪的(de)堡壘機(jī)是多家ICT大廠OEM的(de)首選,特别是出口海外市(shì)場。不僅是因為(wèi)其性能和(hé)能力,在安全層面,帕拉迪也下足了功夫。

國(guó)外市(shì)場對堡壘機(jī)本身的(de)安全性尤其重視(shì),當初,在産品的(de)安全加固就用了我們(men)一(yī)年(nián)半的(de)研發精力。我們(men)支持8-10種身份認證模式。同時,我們(men)将堡壘機(jī)看作一(yī)個後端應用,所以有(yǒu)一(yī)整套的(de)安全加強方案,包括針對堡壘機(jī)的(de)WAF,可(kě)以實現參數和(hé)url的(de)白名單,以及針對堡壘機(jī)數據庫的(de)安全監測系統。”

無論是成熟穩定,還是安全性,這些都是開源堡壘難以短(duǎn)時間實現的(de)。

“堡壘機(jī)不會做(zuò)運維自(zì)動化,那不是我們(men)熟悉的(de)領域。但是對于現在大熱的(de)自(zì)動化運維平台,客戶高(gāo)層也是持不信任态度的(de),所以從客戶層面就會樂(yuè)于推動這些平台和(hé)堡壘機(jī)的(de)對接。統一(yī)的(de)賬戶安全體系,特别是已經在用堡壘機(jī)的(de)客戶,這是一(yī)層重要安全保障。”



此外,對于堡壘機(jī)和(hé)IAM的(de)關系,王楓認為(wèi),堡壘機(jī)受運維協議的(de)帶寬限制,更關注運維人員的(de)訪問,而IAM是囊括所有(yǒu)業務線的(de)身份體系,可(kě)以說堡壘機(jī)是IAM的(de)一(yī)個子(zǐ)模塊。但堡壘機(jī)對身份、權限的(de)管控,以及訪問行(xíng)為(wèi)的(de)審計和(hé)監測(也正是4A的(de)內(nèi)容),追溯到自(zì)然人的(de)能力,可(kě)以擴展的(de)更大。這個需求也是确實存在的(de)。

目前,我們(men)IAM方案的(de)客戶政府機(jī)構居多。比如(rú)社保局、區政府等。雖然他們(men)的(de)身份建設滞後,有(yǒu)大量的(de)老舊(jiù)系統,但我們(men)的(de)IAM方案是外挂式,不需要和(hé)這些系統開發對接,同時自(zì)身又有(yǒu)安全屬性,還有(yǒu)很多場景功能開關可(kě)供選擇,所以非常适合他們(men)。”

安全牛評:

 堡壘機(jī)已經是非常成熟的(de)産品,但是目前的(de)痛點和(hé)客戶的(de)需求方向也很清晰。作為(wèi)國(guó)內(nèi)堡壘機(jī)品牌領頭羊,更契合客戶對自(zì)動化和(hé)移動化運維的(de)需求場景及趨勢,更好的(de)完成從堡壘機(jī)到IAM的(de)過渡使命,是帕拉迪此次發布“下一(yī)代堡壘機(jī)”的(de)兩個重要意義。從品牌策略來看,也是對應且明确的(de)。帕拉迪已經成為(wèi)國(guó)內(nèi)堡壘機(jī)的(de)重要品牌,結合國(guó)內(nèi)重要的(de)合規市(shì)場需求,這點很難丢棄,但是除此以外,圍繞數據庫和(hé)身份而不局限在特權賬号,IAM才是更廣闊的(de)未來。


Copyright © 2019 All Rights Reserved Designed
杭州帕拉迪網絡科(kē)技有(yǒu)限公司