技术雷达

业界资讯、技术攻略、体育直播

齐治堡垒机PAM特权账号管理系统怎么梳理几十万账号?

技术雷达

你的数据中心有多少账号,这些账号都是什么权限,有多少幽灵账号、僵尸账号,同一个账号是否能访问不同资产,如果更改了会不会有影响?

要想管理数据中心的账号,首先要摸家底,也就是把目前有多少账号,账号状态、账号权限,可管理资产等等一网打尽。
不同用户的应用场景不同,账号梳理的难度、重点也不同,齐治PAM特权账号管理系统,帮助用户梳理账号、厘清账号,为账号的统一管理打下良好基础。
场景一:账号清单分散 难收集

庞大的数据中心账号,管理员众多,使用者也众多。开发、运维、安全等等部门都在数据中心开设有账号及相应权限。如果想把这些账号摸清楚,收上来,是一件难事。
首先,收集账号的沟通成本高。手工线下收集,需要挨个找管理员整理核对上报。大的数据中心,部门多,人多,只沟通这些数据就占据大量的时间和精力,成本高。
第二,账号收集不全不准。账号数量多,人工维护需要的人力也多,数据中心人员难免流动,存在离职、调岗等等,即使工作交接时有excel表,也没法一一核对,遗漏、遗失、错行、错字、误录入在所难免,时间一长,账号无人知道,密码丢失,用起来才发现excel里记错了时有发生,给后期的系统维护留下了隐患。
第三,账号变化快。数据中心里频繁有或大或小的资产调整,比如新设备上架,老设备下架,系统迁移,虚拟化重新配置、合并或拆分,这些大大小小的调整,无一不在挑战原本就脆弱的账号管理。之前的老账号还没厘清,又面临频繁的资产变更,注销老账号、产生新账号等等,新的账号体系里到底增加了谁,取消了谁,权限是怎样变动的,就算是每次都手工记录,也会有信息不完整、不及时,甚至出现错误的时候。 
PAM解决之道
第一招:自动发现

齐治PAM特权账号管理具有账号梳理功能。针对沟通成本高、账号收集不全不准的问题,PAM提供自动发现+账号工单有限发现相辅相成的服务,能够将漏报账号、漏报资产从系统上自动确认,并一键移交给管理员。

针对账号变化快的问题,齐治PAM提供自动巡检功能,发现有问题的账号,比如无法登录、权限被篡改、网络不通等问题,统一及时汇总给管理员,实现随时发现,随时处理。

场景二:账号依赖关系错综复杂  难梳理

数据中心的任何一台设备、一套系统都不是绝对独立存在的,必然会和其他设备或系统有或强或弱的耦合关系,比如几台服务器组成一个集群,集群统一管理的账号和密码,势必涉及到单台服务器。
系统管理中,“不敢乱动”是管理员的紧箍咒,设备、系统之间的耦合关系,牵一发而动全身的可能性,让不清楚情况、不了解实际的变更如履薄冰。
账号管理中,如果以为仅仅是变更了一台设备的账号、密码和权限,不会有什么问题,那就大错特错了。资产之间的耦合关系,让账号和密码在跨资产时也有耦合,登录A设备的密码,与登录B设备的是一套,变更了A忘记了B,等到想登录B时,发现上不去了。值得庆幸的情况是,管理员记得A和B的耦合关系,更改A时就顺便更改了B。但更多情况是,ABCF……等等都耦合,管理员记得了其中几个,忘记了另外几个,等到用时发现已经无法顺利管理资产了。
PAM解决之道
第二招:等价关联

PAM的解决方案是支持等价资产,配置等价账号,梳理各种账号同步关系。

当多个账号的密码需要同步时,PAM支持配置等价账号高级功能。例如资产部署的集群,管理员将集群中所有节点加入到PAM,可以将这些节点的账号设置为等价账号。如果其中某个节点的资产账号修改了密码,则密码将同步到其他节点的资产账号。需要专门指出的是,在相同账号名且以密码类型登录的前提下,等价账号可以跨资产类型。

场景三:账号权限合规难核查

数据中心有多少种账号?恐怕管理员也仅仅能分个大类。比如从是否可写的角度说,分为可读可写的账号,只能读不能写的账号。从级别高低说,分为高级别、畅通无阻哪都能去的特权账号,低级别仅在某几台设备上可用的普通账号。从使用者角度来说,分为设备自动读取访问的机用账号,数据中心工作人员使用的人用账号等等。
这么多类别的账号,开通、配置、修改、关闭时,既可能更改属性,又可能更改权限,如果纯手工劳动,就只能请出excel表来做详细记录,开通时如何配置的,中间是否有变更,是否到期,该什么时候关闭。时间一长,工作量一大,这几乎是个难以准确完成的任务。
PAM解决之道
第三招:自动巡检

不同用户的不同账号有特殊的管理诉求,PAM可以通过各种账号属性的配置来满足这些管理诉求。
在具体配置中,PAM包含了账号类型、是否可改密、切换来源、私钥、互备账号等配置选项,来满足账号管理的个性化需求。以账号类型为例,分为特权账号(权限最高的账号,比如Linux中的root、Windows中的Administrator),以及普通账号(特权账号以外的账号)。再比如为应用内嵌账号管理准备的互备账号功能,具有同样权限的两个账号,应用通过其中任意一个账号登录资产(例如数据库),都能正常执行操作(例如查询数据库)。
通过账号高级属性进行标识,方便了管理员的日常管理和统计。
在以上三个场景之外,PAM还提供标准的restful API接口对接用户的各种第三方管理系统,自动同步现有的资产信息库。同时,尊重管理员的工作习惯,PAM提供excel模版的导入和导出,以便管理员日常统一整理和收集账号信息。
特权账号是进入数据中心各个资产的钥匙,钥匙很多,功能各不相同,权限各不相同。齐治PAM特权账号管理系统,可以详细分析各场景下管理员遇到的实际困难,用全面、安全、自动化的手段,实现管理的标准化、流程化,不仅大大解放管理员的手工操作,还实现了管理的准确化和个性化。
超过5年500+客户验证,齐治PAM特权账号管理系统在单一客户处实现了96万+账号的统一管理,安全性、准确性、权威性均在业内前列。

评论

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注