技术指南

标签: PAM

  • 齐治特权账号管理PAM:实现账号全生命周期动态治理

    数据中心不管有多少台设备,特权账号的数量都至少是设备数量的十倍。随着业务的发展,数据中心资产的迭代,特权账号随时都可能发生变化。这个时候,用静态管理的方法,设一个或几个专人梳理一张或几十张账号管理表格,既浪费人力资源、管理资源,效率低下,也不可能在面对成千上万账号,且天天有各种变更,而且还需要定期改密等等工作的时候,真正实现账号的准确、实时管理。

    齐治从多年的堡垒机、特权账号管理PAM的开发、实施和实践中总结认为,账号需要通过自动化、高效的手段,进行动态治理。而动态治理方式,应该贯穿账号的全生命周期,从创建账号开始,到账号统一纳管,再到日常维护、使用以及最后的回收,都应该采用科学、高效、自动化的方法。
     

    账号创建的动态治理:根据权限分类 自动化完成创建

    运维人员大都有一个常规但是很繁琐的工作:创建账号。因为某些系统的新增、变化,或者某些人的加入、职位变更等,运维人员经常需要为资产或人创建账号。如果缺少流程规则,事情就变成了:今天来了新增账号的工单或者只是一个邮件、电话,运维人员就赶紧创建一个账号;明天来了一个同事打了声招呼说等着急用,运维人员只好停下手边的工作,先把账号的事干了再说。这样毫无规则、毫无节奏的手工创建账号会带来两个不好的后果,一则,这些新建账号成为了盲盒,创建的时候因为着急,又手工操作,经常会忽略掉创建规则、权限管理等重要问题;二则,运维人员的工作被频繁打扰成碎片。

     

    用户如果使用了齐治的特权账号管理系统PAM,这些账号的创建就可以由系统自动完成,实现动态治理。运维人员首先需要做的是按照日常业务的特性,制定账号创建规范,以满足业务需求,这包括什么人,能创建什么类别的账号,这些账号的权限如何,审批流程又是怎样的等等。规范制定完毕后,账号创建就走入自动化的流程,哪个资产或者哪个人,需要创建新账号,按照流程在系统里申请就可以。这样,既从创建之初就将所有账号进行收敛和按规则分类管理,也通过自动化流程解放了运维人员。

    账号纳管的动态治理:通过API打通系统 实现全纳管

    数据中心中一个常见的现象是,不同团队负责维护不同系统,比如ERP、CRM这种复杂系统由几个人负责上线及日常的运维。在手工进行账号纳管的状态下,各个团队在自己的系统上线过程中,一次性创建很多账号,之后在运维过程中,可能也会陆续有新的账号创建。这些新账号,根据数量不同,定期做成一张、几张或十几张表格,交给运维人员一张张录入,进行统一纳管。
    那么,问题就来了。且不说这些账号创建的时候是否符合规则,就是这些表格的手工创建、录入,难免有错误,比如某个字符录错了,某个密码少了一位等等,运维人员录入以后再一个个核验,费时费力,还容易出现纰漏。

    齐治特权账号管理PAM强调账号纳管的统一动态管理。PAM通过API将账号传递渠道全部打通,各个应用、资产里形成的新账号、修改的账号等,自动按照规则传递到运维人员处,并完成自动配置工作。这样,自动化纳管所有账号,为以后的统一管理、校验、改密等全流程管理打下良好的基础。

    账号维护的动态治理:自动将账号分配到任务单中 管理员只需清点结果

    账号的日常巡检,如果是手工、静态管理,一般的流程是:运维人员建立任务单将相关账号关联起来,进行统一巡检。但是在巡检过程中,有些账号已经发生了改变,比如密码更改了,权限调整了,这个时候再手工创建任务单,对发生改变的账号再次进行管理,可是再管理过程中,又有一些其他账号发生了变化。这样就陷入一个无法走出的漩涡:用一个静态的方法,去管理动态的问题,状态一直在变化,根本找不到静态的时间点和场景。最后管理员自己都糊涂了:哪些账号维护巡检过了,哪些账号巡检过程中又发生了变化,什么任务重复执行了,什么任务因为账号变化压根已经无效,不应该再执行。

     

    齐治特权账号管理PAM在实际应用中,坚持对账号维护进行动态治理。换句话说,所有账号纳管进PAM之后,PAM自动将新增或有更改的账号分配到相应的管理任务中,无需手工干预及调整。管理员每天按时对任务执行结果进行清点即可。

    账号使用的动态治理:配置动态授权规则 自动授权

    账号创建、管理起来,最终是要使用的。在使用过程中,要首先对账号进行授权,不允许它做授权之外的事情。系统及资产使用的账号,齐治PAM采用内嵌账号管理的方式进行调用,而人使用的账号则直接管理。
    一般来说,机用账号,因为绑定具体业务系统,相对稳定,鉴权规则和方式也比较固定,静态管理还算可行。但是,人的授权就比较复杂。人的需求是变动的,权限要求也更多且容易变化,需要次次审核和授权。所以PAM会通过动态授权、变更工单、API等多种途径,满足动态申请、自动授权的场景。
    账号回收的动态治理:统计和分析账号 自动锁定和删除

    账号都是有生命周期的。人的流动,业务的迭代,都会累计很多过期、无用的账号,就需要运维人员进行清理。在静态管理的环境下,运维人员最难做的事情是找到这些账号,比如在上万甚至几十万账号里查找一年都没有用过的账号,再挨个进行辨别;或者查询已经离岗的人对应的账号。一旦明确这些账号是谁,在哪里之后,再手工进行回收和清理。
    账号回收的动态治理,就是齐治特权账号管理PAM管理账号的一部分。PAM通过对账号使用数据进行统计和分析,帮助运维人员定位出长久不用的僵尸账号、幽灵账号,自动化进行锁定和删除工作。
    对于日益庞大、复杂的数据中心来说,账号的统一、动态、全生命周期、自动化管理,是避免账号漏洞、解放运维管理人员的最佳路径。齐治特权账号管理PAM在多年的成功应用实践中,总结出了账号全生命周期动态管理的方法,并加以实践。在某银行案例中,PAM成功管理96万+账号,实现了账号高效、有序管理。

  • 特权账号管理系统PAM实施交付做好的3件事

    特权账号管理系统有别于传统的安全产品,是一个与第三方高度交互的系统,其交付过程存在周期长、涉及部门多、衍生需求多的特点。其建设过程需要客户安全部门、运维部门和开发部门的共同参与,否则交付起来举步维艰。特权账号管理系统的实施应深入了解客户的IT管理架构、岗位职责、管理文化,并设计一套全面完善的特权账号管理实施方案。
    在明确项目里程碑和方案之后便真正进入到项目实施阶段。凭借多年特权账号管理项目的实践经验,齐治总结出特权账号管理系统PAM实施需要注意的三个核心问题。
    明确管理对象

    在交付实施过程中,要确保账号、密码、密钥等PAM管理的对象能被正常、正确交付。不同客户这些敏感信息的分布都不一样,有的在机器里,有的在人手里,于是收集信息便成了这个阶段最重要的工作内容。通常情况下,实施团队需要跨部门、走流程才能把第一手的信息采集回来。所以,项目经理要时时刻刻盯着采集进度,及时梳理和反馈进展,出现问题马上处理以免耽误整体项目进度。
    明确管理的人

    账号在完成纳管之后,使用账号密码的人(比如:系统管理员、数据库管理员、第三方代维人员),必须得熟悉新的账号申请和使用流程,甚至包括应急处理流程。因为新的系统上线会或多或少改变现有运维人员的使用习惯,有一些人能接受改变,有一些人不愿接受改变。所以,项目推进困难有时是因为遇到人为阻力。
    还有更糟糕的情况:运维人员甚至没听说过要上一套新系统,就被要求配合这项工作,配合那项工作。因此,项目经理需要提前组织和拉通这些跨部门沟通的问题,从而统一思想,要让方案不能只停留在产品和技术层面。管理规范和管理流程最终是需要人来配合执行的,所以不要忽视被管理的人。客户方面最好有高层的支持与推动,有足够的力度推进项目实施,让不愿意改变使用习惯的人员乐于接受一些工作方式上的转变。

     

     

    在一家金融客户的特权账号管理项目实施过程中,客户与齐治共同设立了一个专门的核心委员会,由客户的高层领导和齐治的项目经理、专家共同组成,负责解决一些策略层面的问题,并且定期审查项目的进度。客户还采取了一些激励措施,让使用者的绩效与新系统的应用有一定程度相关性,这也对项目实施起到了很好的推进作用。

    及时测试和验证

     

    及时的测试和验证,是项目实施过程中非常重要的环节,而且频率越高越好。一方面是因为收集完成之后的账号密码几乎都会出现不全、不准、不正确的问题,按照10%的错误率,验证1000个账号需要处理100个错误账号信息,可能一周就能全部解决,但如果一次性验证10000个账号,需要一次性处理1000个错误账号,可能需要一个月来专门处理,效率降低的同时也会严重影响项目进度。
    另一方面也要分阶段去验证新的管理流程是否能跑得通,因为项目最终的目的是去落实新的管理规范,在方案阶段一些细节和效果是看不到的。所以在项目实施阶段做及时的验证也有助于随时发现问题和调整策略,以免最终发现整个方向走偏或走散。
    好的实施方案应该从一开始就做详尽的调研和设计,而不是在实施开始后才慢慢地修修补补。特权账号管理涉及企业历史管理问题、岗位互斥问题、监管要求问题等,只有在做了深度评估和调研后才能设计出最贴合客户需求的实施方案。在PAM交付过程中,以上核心问题需要在实施方案制定阶段就提前布局,并在实际交付过程中严格落实。

  • 齐治堡垒机PAM特权账号管理教你如何避坑明文账号和密码

    数据中心几乎无时无刻不在使用密码:初始化、登录、维护,运维管理员敲键盘如飞地在各个设备上操作,在各个系统间切换。同时,不断有各种临时需求向运维管理员发来:某位同事临时需要申请一个账号和密码以访问某系统,某个领导临时需要调取一个数据库里的表单,部门同事需要临时对中间件配置进行连接等等。

    面对这些临时的、突发的申请和需求,运维管理员最简单的做法当然临时调一个账号和密码用一下,等临时任务关闭后,再取消这个账号,或者变更密码。可是这个“临时”意味着明文账号+明文密码,为系统的管理留下了隐患,而齐治PAM特权账号管理系统,既满足“临时”需求,又保证明文账号和密码的安全可靠。
    广为存在的明文账号和密码

    在数据中心使用过程中,大部分运维操作都通过了“单点登录”,即人直接访问具有权限的系统,而不需要输入账号密码,账号密码由堡垒机来自动完成登录过程。 而运维场景的多样化,导致“单点登录”无法全部覆盖所有场景,有些时候必须申请和使用明文密码,比如,系统的初始化配置, 通过控制台进行硬件或网络变更等等。 
    这些明文密码缺少技术来加以规范和实施落地,导致整个过程中存在明文密码泄露的安全风险。其实,如果管理手段合理,是可以避免的。比如,申请时有科学合理的审批;要求明文密码发送过程中加密,让密码不可视、不可查、不可猜;再比如,密码使用结束后,还有合理的自动化流程,回收相应的账号和密码,防止外泄。但是,恰恰在数据中心内部管理过程中,出现了各种问题,才层层防线失守,最终以明文账号和密码的形态裸奔。
    很显然,如果没有任何安全防护措施,明文账号和密码就像在系统里裸奔一样,是最危险的因素之一,一旦被“神对手”或者“猪队友”用到,不可避免地就会产生安全隐患甚至发生安全问题。

    如何避免入坑明文账号和密码

    很显然,明文密码的使用不可避免,那么就要从管理角度消灭明文密码。如前文所说,在明文密码生成、传递方式和路径,以及回收的全流程,进行管理和防范。
    首先,明文密码的申请过程中,所有申请人、申请理由、审批情况、使用时长、审批人都记录在案,严格管理好“申请”这个源头,让不当的人、不当的行为、不当的审批被扼杀在“出发”之前。
    其次,正常、完整的审批流程结束后,就转向传输和使用阶段。在传输和使用过程中,密码必须加密,不得以明文的形式存在。在更重要、更严格的情况下,甚至可以采取AB角的方式管理密码——A和B各掌握一半密码,使用时A和B必须同时在场才可以——谍战片的既视感。
    最后,账号和密码使用完毕后,必须马上更改,不能让已经公开或半公开的密码存在。所有明文账号,都必须使用新的密码,保证整个系统运营的安全可靠。
    齐治PAM保证明文账号和密码的使用安全

    齐治PAM特权账号管理从账号和密码的全生命周期管理入手,在各个阶段进行安全防护。

    首先,明文账号和密码需要在使用前通过PAM系统进行申请,在初始阶段就会最小化审批该账号和密码的权限,让它只能在规定时间、规定范围内进行规定操作。

    其次,PAM实现过程全跟踪。账号和密码提供给使用者的过程中,PAM可以将明文密码加密,这个加密包括加密发放、传输加密、存储加密、内存加密等多种手段,使得明文密码在从运维管理员到使用者的过程中,不再明文。在有的应用场景下,用户可以使用密码信封的方式进行线下明文密码传递,保障密码安全。

    PAM管理明文密码全生命周期

    在账号和密码按照权限规定到使用期限后,PAM可以自动回收账号及权限,该账号和密码不能在系统中使用,限制了该账号的可能被利用的非法功能。同时,账号回收后,密码重新初始化,PAM立即将该密码改密,保证了账号和密码的安全性。

     

    特别需要一提的是,PAM对账号具有审计功能,该账号和密码被发放后,PAM会形成发放日志,记录该账号和密码的动作,以便事后审计所用。
    齐治PAM特权账号管理系统,针对明文账号和明文密码,实现了安全、可靠的全流程管理,保证了整个数据中心的账号安全和密码安全,提高运维管理效率,提升运维管理安全性。实际上,PAM针对数据中心系统内所有账号和密码都有严格的管理流程和管理方法,全面保障用户的内控安全。