齐治特权账号管理:如何建立一个全量的账号安全台账?

齐治特权账号管理系统(Privileged Account Management, PAM),齐治特权账号管理PAM经过超过五年的开发、应用与实践,紧紧抓住“账号”这个关键,通过建立账号安全台账,实时、动态帮助用户实现数据中心的账号管理。
在账号安全台账的建设和管理过程中,首先要做的是,将所有账号及数据全部纳入,并进行安全、高效、合理的管理、分析,也就是建立全量的账号安全台账。
全量账号安全台账的前提

——搞清楚账号都在哪,什么数量级

要想做账号安全台账,先要搞清楚数据中心的账号都在哪,有哪些类别,大概是个什么数量级。

1.账号都在哪?
数据中心账号众多,存放及管理的设备也很多,包括主机内部的本地账号,集中在目录服务器或者域控(AD)的账号,应用或中间件的代码及配置文件内也有相应账号,第三方工具(比如监控、自动化)等都有账号。这些账号,通过本地文件、数据库或者目录服务等形式进行存放。
2.账号分哪些类?
账号并不是按照一种维度分类的,其实它分类方式有很多。
按使用主体来分:人、设备或者应用。一个账号,是管理员或者普通使用者用的,还是主机、网络、存储等设备用的,或者是OA、ERP、CRM等应用系统用的,不同使用者的管理方式并不完全相同。
按用途来分:不同账号的用途不一样,一个账号是超级管理员,还是用来日常维护,亦或是做应用服务、API访问、自动化等等的。
按平台来分:这个比较好理解,账号是在哪个平台上使用的——主机、数据库、网络、虚拟机甚至是云等。
3. 账号规模有多大?
用户在全量管理账号前,先有大概一个概念,到底数据中心有多少账号。
如果按照资产的规模统计,一台新装的Linux,默认出厂就有10-15个账号,加上日常维护、服务、应用运行等实际生产场景会新增更多的账号。可以说,账号数量是资产规模的几十倍,是常见现象。
如果按照应用统计,应用与应用、应用与数据库之间通讯可能都会用到账号凭据,按照应用数量乘以一定系数也可大致估算出应用账号的规模。
齐治科技拥有超过17年的数据中心管理经验,最近十年来,在账号管理方面,与超大规模客户持续探讨,齐治特权账号管理PAM把账号台账的支撑数量级定位在千万级别,基本上能够涵盖绝大多数客户生产环境内的全部账号。

 

建立全量账号安全台账的三个能力要素

 

账号安全台账的核心就是找到、整合以及分析账号相关数据,这就是账号管理系统建立全量安全台账的三个能力。
1.数据的获取能力
数据获取的广度。账号管理系统是否能够在最大范围内获取账号及相关数据,一方面账号数量多,另一方面,不同资产和不同业务场景下,账号数据来源各不相同,有的是在脚本中出现,有的是在过程中出现,账号管理系统需要从大量的系统、资产中找到这些账号和数据,并将之纳管。
数据获取的深度。和账号安全管理有关的数据,采集的越丰富越频繁,越能帮助用户及早发现问题,不同类型的账号数据可能不一样,采集方式也不一样。
2.数据的整合能力
归档分类。几万甚至几十万数量级的账号,几十种账号类型,每个账号里还有那么多相关的数据,不做分层分类管理,只简单堆在一起,杂乱无章,基本没法用。
查询检索。账号管理系统需要提供不同维度的查询能力,而且支持批量操作和自动化统计。
3. 数据的分析能力
管理的维度。用户进行账号统一管理之后,必然会出台相应的管理规范,那么,通过分析数据、总结原因,就可以观察到这些规范是否被有效执行,规范是否需要持续改进,如何改进等等。
攻防的维度。通过分析账号数据,可以抽取“可疑”账号,看这些账号是否有被恶意利用的风险,或者已经被恶意利用。
建立大规模全量账号安全台账的挑战

 

量变决定质变,管理几百个账号和管理几百万个账号所用到的思想、工具、技术完全不一样,管理的复杂度也有着天壤之别。
在建立全量账号安全台账的过程中,有三点必须考虑。
安全性。账号密码这种高敏感信息数据做集中存放,一定要把安全放到第一位考虑。齐治特权账号管理PAM有密码保险箱功能,存放账号密码,让别有用心者看不到、取不出、拿不走。

 

并发性。如何高效地去海量资产(比如1万+资产)上采集账号数据,也是账号管理系统要考虑的关键点。齐治特权账号管理PAM支持多并发,也支持总分、多站点等各种应用场景,满足用户的多并发需求。
冗余性。账号台账需要作为生产者为其他业务或者管理系统提供账号数据,所以业务的稳定性极其重要,不能因为自身故障等问题影响业务。齐治特权账号管理支持高可用、两地三中心多种部署方式,全方位保障用户账号资产的安全可靠。
实践出真知,实践也是检验理论的最好标准。齐治特权账号管理PAM推出5年来,在500+大型客户处进行应用、提升,在某银行的10万+资产、96万+账号中,实现了统一高效管理,得到了用户的充分认可和好评。

手机铃声响后提示忙音:对不起,您拨打的电话正在通话中?8个原因


评论

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注