管理和保护特权凭证对于企业组织降低风险,并满足合规性而言是至关重要的。企业组织需要对特权密码管理解决方案的深度控制、覆盖范围和他们所提供的与企业云服务的匹配程度进行评估。CA Technologies公司的特权访问管理器针对上述三个维度提供了有效的管理,其提供了用于特权凭证管理的下一代解决方案,推动IT风险的降低,提高了运营效率,并通过支持传统、虚拟和混合云基础架构来保护企业组织的投资。

挑战

随着虚拟化和云计算采用的日渐普及,使得一个古老的问题的重要性和复杂性日渐凸显:有效的管理和保护特权帐户的密码。跨整个传统基础设施(网络设备,服务器,大型机等)管理特权密码,一直是一个长期的安全性和合规性问题。使问题进一步复杂化的是大量的特权凭据硬编码到应用程序。这方面的凭据的例子是SSH密钥配对和用于访问亚马逊网络服务(AWS)资源的PEM编码密钥。

机会

跨混合企业的特权凭证的有效保护,可以帮助一家企业组织减轻来自外部的攻击和内部人员的恶意行为所带来的风险。当前的企业组织有机会通过采用特权访问管理方法来获得12项必备的功能,以降低审计失败和违规风险,以及高价值的数据丢失和昂贵的服务中断的风险。毕竟,所有这一切都可以追溯到特权帐户未受到充分的保护。

效益

CA Technologies公司的特权访问管理器对保护和管理能够访问各种资源的所有类型的特权凭据提供了一套全面的控制。不管其在哪里,并且是与当今的混合云环境的步伐保持方式一致的,使企业组织能够降低风险,较大幅度的削减成本和操作的工作负载。其能够提供其他方法所不具备的深度的控制、广度的覆盖范围和与云计算的匹配一致。

第一部分:特权密码管理的基础

特权用户密码(以下简称特权密码)是区别于普通最终用户的密码的,其能够访问到一家企业组织机构最为敏感的资源——如即管理帐户(如管理员、root根权限、SYS和SA)和相关的用于配置和控制一家企业组织机构的IT基础设施的功能。鉴于其可能涉及的风险,故而对这些特权凭据进行重要管理和保护是显而易见的。同时,这也是由已经大量被编入常用的安全标准和法规所验证的相关要求所规定的,包括诸如《信息技术安全美国标准 NIST Special Publication 800-53》和《支付卡行业数据安全标准(PCI-DSS)》。

监管要求之外,特权密码管理不仅从风险管理的角度来看是一个好的做法,其对于克服当今企业组织常见的不安全的做法也是相当必要的。强度弱、陈旧或暴露的密码(例如,保存在一张便笺或电子表格上);密码太多;密码被共享;共享的账户没有明确的归属;没有选择强认证和没有集中撤销只是我们经常会遇到的少数的问题。

真正的问题则在于,上述任何这些条件都可能潜在的导致成功的鱼叉式网络钓鱼,有针对性的网络攻击,并最终导致企业数据盗窃,更不要说违反监管法律规定。这还需要证明吗?根据《Verizon公司2015年度数据泄露调查报告》显示,95%的安全漏洞均可以追溯到身份访问凭据被盗,而另外则有10%是由可信人员滥用身份访问凭据所导致的。这一报告的结果已经非常清楚的说明了为什么今天的企业组织需要充分利用一套企业级的解决方案,如CA Technologies公司的特权访问管理器,以便进行特权凭证管理、保护和访问控制。

混合云的影响

上述传统的问题归类仅仅只是冰山一角。鉴于混合云配置令人信服的成本、适应性和响应性的优势——使得IT服务和应用程序得以能够跨企业和云数据中心这二者同时利用传统和虚拟化基础设施——导致混合云的应用获得了广泛的普及必然是引人注目的。当然混合云除了带来了与其相关的各种益处之外,也为企业的特权密码管理带来了一些新的挑战,包括:

更多的密码容量/规模——鉴于企业经营需求和虚拟机的轻松部署带来了更多需要特权访问的实体(因此,也就有了更多的特权密码)

更大的范围——随着虚拟化和云管理控制台的集中,增加一个新的特权资源/帐号类型到混合云

更大的添加活力——新的服务器/系统可以按需添加,不要说批量性的添加(例如,一次性添加10个、20个或更多)

创建潜在的身份岛屿——因为每款不同的云服务均有其自己的身份存储和基础设施

除了混合云所带来的挑战,IT安全管理人员在评估潜在的解决方案时,还需要考虑其他两个方面的特权密码管理问题。首先,他们需要考虑机器对机器或应用程序到应用(A2A)的情况,即一款系统或应用程序使用密码以访问另一款系统或应用程序,密码被硬编码在被访问的应用程序或在纯文本配置文件中提供。所需考虑的第二项是经常被忽略的问题,大多数企业组织也可能有成千上万个密钥(如SSH的部署),虽然他们不是传统的短语型密码,但仍然作为特权帐户的身份验证凭据,因此,仍然需要进行管理和保护,减少相关的风险。

最终的结果是,在混合云时代,现在的特权密码管理比以往任何时候都更加重要和复杂。

第二部分:来自CA Technologies公司的特权访问管理解决方案

CA特权访问管理器是一款全面的特权访问管理解决方案。因此,除了能够控制访问、监控和记录特权用户跨混合云环境的活动,CA特权访问管理器还集成了下一代解决方案所需的特权密码管理的功能。事实上,IT安全团队需要认识到虽然凭他们本身的头衔,管理和保护密码是非常有价值的,其也有助于带来更好的结果。特别是在更广泛和同样重要的对于进入高风险的资源实际控制和管理过程的最初的(或互补的)步骤中。如果在这里的区别似乎微妙,这主要是因为,在实践中,认证机制(即密码)和访问控制功能的实现很少涉及单独一个,因此,他们往往在我们的头脑中被混为一谈。

在任何情况下,CA特权访问管理器中的特权密码管理功能的设计目标与其他的那些解决方案是相同的。具体来说,我们的目标是为客户提供一款解决方案,不仅能够提供一套全面的控制和一套全面的目标和用例功能,同时还能够与云时代的交付选项、实践方法和架构相一致。

综合控制

当涉及到评估特权密码管理解决方案时,我们推荐首先考察该解决方案是否包含了一套全面的控制,以帮助企业客户的安全团队克服由传统方法所造成的创建、管理和使用敏感的管理凭据方面的风险。具体考察的领域包括发现、Vaulting控制、政策执行、检索和支持无缝演进到一个全功能的特权访问管理实施的能力。

第三部分:特权访问管理必须具备的12大功能

1、自动化/易于发现

如果没有用于自动化或易于发现的一种手段,特权密码所带来的管理过程将会是相当繁重的,更不用说各种错误或遗漏会使得一家企业组织的计算环境非常易于受到今天复杂的网络攻击。基于这样的原因,

CA特权访问管理器中包含了多种用于发现设备、系统、应用程序、服务和账户的方法,包括利用众所周知的端口结合、目录信息、管理控制台和API.例如,CA特权访问管理器利用可用的API支持虚拟化和云管理解决方案,以便创建新的虚拟机时,通知管理员。此外,该解决方案可以轻松地从文本文件批量导入系统列表,同时还能够让ad-hoc模式通过管理控制台进入。最后,了解我们已经选择了回避更具破坏性的(和潜在风险较大的)基于目标代理发现本地TCP堆栈的技术要求是“经过了设计的”,也是非常重要的。

2、安全存储/Vaulting

一个加密的vault提供了一个集中的控制点,并且是消除不安全的、使得分享和攻击访问凭据更容易的存储方法(如电子表格)的关键。CA公司的特权访问管理器vault是凭据安全的,一款FIPS(Federal Information Processing Standard,美国联邦信息处理标准) 140-2 1级认证标准的解决方案利用AES 256位加密来安全地存储所有类型的访问凭据,而不仅仅是密码。该解决方案的其他引人注目的功能特点包括:

充分利用集成整合的硬件安全模块(HSM),如从SafeNet公司和Thales公司的模块到包括了现场的FIPS 140-2 2级或3级部署。这对于高配置、需要规避风险的客户和使用案例是尤为重要的,如那些涉及到金融财务和银行的系统,这类系统需要将加密的凭证与用于加密凭证的密钥分别存储。支持多种部署选项,包括CA的特权访问管理器硬件设备自带的PCI卡,CA特权访问管理器虚拟设备调用网络附加连接的HSM设备和任一类型的CA特权访问管理器设备调用AWS的“HSM即服务(HSM-as-a-service)”产品。

实践证明,白盒加密程序在保护加密密钥的同时,自身也在系统上被使用(即在内存中)。这种做法旨在防止黑客通过监测标准加密API和内存来抓取/拼凑密钥,以及基于密钥分块或简单的混淆密钥来克服其替代密钥拼凑的劣势。这一技术的加入对于A2A使用案例尤其重要,因为A2A使用案例的访问系统还必须“vault”凭证,其对于系统有更大的破坏潜力(例如,由于其是在一个相对暴露的位置)。

3、自动化的策略执行

CA特权访问管理器自动创建、使用和更改密码,从而消除了密码的重复使用或对于弱(易记)密码的依赖。借助CA公司的特权访问管理器,可以设置灵活的策略以强制实施复杂的密码,执行变更要求——如基于时间轮换的密码(例如,每天或每周)或响应特定事件(例如,每次使用后)和管理使用(例如,只允许在特定时间期间的访问或需要双/多授权的密码访问)。因为这些策略可以以分级的方式,并在目标资源的群组被应用,不仅可以有不同的要求,能力也可以被容纳于不同的目标,但他们的强制性的也有效地变成了动态,因为任何自动添加到群组的资源将自动继承该群组的策略。在其背后,CA特权访问管理器还与受影响的目标资源直接交互,以提供所有凭证保持同步(即,当他们在一端发生改变时,在另一端也将发生变化)。

4、安全检索和演示/使用

如果其不能被安全地检索和使用,那么,把特权凭证到vault是没有意义的。在此过程中的第一步骤是准确的搞清楚正在访问/使用凭据的访问者的身份验证,或任何使用案例的应用程序和脚本。在这方面,CA公司的特权访问管理器充分利用您企业现有的身份管理基础设施,整合Active Directory和LDAP兼容目录,以及身份验证系统,如RADIUS.还包括支持:

双因素令牌(例如,通过CA高级身份验证或其他来自RSA和SafeNet公司的类似身份验证)

X.509 / PKI证书

联邦部门合规性的HSPD-12和OMB-11-11所要求的个人身份验证和通用访问卡(PIV / CAC)

SAML

复合的多因素的技术(例如,使用RSA令牌与密码的结合)

在优选的操作模式中,CA特权访问管理器随后以访问实体的形式(例如,用户或应用程序)呈现对于目标系统的凭证请求。这种方式传达一些额外的安全优势。首先,相对于简单的签入/签出解决方案,凭据是访问实体从未见过或分发到的。这大大降低了他们曝光的潜在可能性。另外,由于认证到目标系统是完全自动化的,用户永远不需要处理/记住自己的密码,实施的策略可以大大提高密码的复杂性。因为所有对于目标的访问均是通过CA特权访问管理器进行的,该解决方案还可以提供特权用户活动的全部属性,甚至提供给共享的管理员帐户。

为了完整起见,实体访问之间的所有网络通信也是值得注意的,CA特权访问管理器和管理目标都是SSL加密的。此外,CA特权访问管理器支持另一种操作模式,从而使得访问实体可以直接检索,并在自己的系统提交目标系统所需的凭据。

5、无缝过渡到完全特权访问管理

CA特权访问管理器最初只专注于密码管理,而企业客户需要做的一切就是是否以及何时意识到过渡到实施一套全功能的特权访问管理的必要性。当企业客户在为充分利用这些优势做好准备后,其IT安全部门所能够享受到的一些较为显著的功能包括:

基于角色和相关工作流程的访问控制(例如,其他权限的请求/授权)

与目标资源自动连接/建立会话(支持RDP、SSH、Web和其他几种访问方式/选择)

特权用户会话的实时监控,以及基于策略实施活动的允许/拒绝(例如,一个特定的用户可以使用哪些命令)

日志记录,包括基于SIEM整合的系统日志

完整会话记录,具备类似DVR的回放功能一样的直接跳到感兴趣事件的功能

越级预防,防止用户利用可访问的目标绕过他们的权限来访问其他的、未经授权的目标

此外,实施这些额外的功能可能并不容易。CA特权访问管理器将其所有的特权密码管理和访问控制功能作为一款紧密集成的解决方案提供。CA特权访问管理器还跨整个解决方案提供统一的策略管理,即进一步简化实施和管理的方法。

全面覆盖

当为选择一款特权密码管理解决方案进行评估时,所需考察的第二大关键领域是其所提供的覆盖范围。换句话说,对于上述的一整套身份凭证访问控制,该解决方案到底支持什么类型的访问实体,凭证和目标系统?

6、传统目标的全面覆盖

CA特权访问管理器包含了一个广泛的目标系统连接器阵列,为所有类型的IT基础设施、网络设备、系统和应用程序,提供了现成的集成,包括:

Windows?域、本地管理员和服务帐户

热门的Linux?和UNIX?发行版本

AS / 400

思科和Juniper网络设备

基于Telnet/SSH的系统

SAP

Remedy软件

ODBC/JDBC数据库

系统和应用程序服务器

作为一款可扩展的解决方案,CA特权访问管理器还提供灵活的定制功能,使企业客户能够支持更轻松地扩展到专利和内部开发的系统。

7、支持虚拟化和云管理控制台

CA特权访问管理器开箱即用的对于凭据管理和保护的功能覆盖并不局限于传统的目标;其也延伸到了流行的虚拟化和云计算解决方案,包括VMware vSphere、VMware NSX、亚马逊Web服务和微软在线服务。此外,适用于这些解决方案的该功能并不局限于与虚拟机、应用程序或服务相关联的单个实例。覆盖率也延伸到相应的管理控制台,这是由于命令必须以其本身的能力被识别为特权资源。

8、支持机器到机器的认证

正如前面所提到的,人类并不是唯一的特权凭证用户。对于大多数企业组织而言,许多应用程序和系统也需要访问敏感的资源,如其他应用程序或数据库。这通常是通过将相关的凭据嵌入到访问应用程序的代码或通过配置文件使其在运行时能够获得访问——这二者其实都不是一个特别安全或可管理的选项。CA的特权访问管理器通过使得开发人员能够将轻量级CA的特权访问管理程序客户端植入到他们的应用程序,来为这些A2A用例提供功能覆盖。这种方法提供了“特权应用程序”的一切,包括他们所需要注册的CA 特权访问管理器、动态检索所需的密码,以及随后在本地系统的内存中实施的保护。此外,多种机制可用来验证特权应用程序,并在CA特权访问管理器中释放要求凭证之前确认其完整性。

通过为A2A方案利用CA特权访问管理器,企业组织可以更有效地通过集中vaulting、自动化A2A凭证管理和政策的执行,并简化相关的审计、合规性活动来消除A2A凭据的暴露/不安全。

9、密钥管理支持

除了支持加密操作,许多类型的密钥也作为令牌,以确认身份。虽然这样的密钥不是传统意义上的密码,他们仍然能够像密码一样操作,并仍然会受到类似的安全威胁,风险和挑战,如复制、共享、意外曝光和未经审计的后门。由于这样的密钥通常是嵌入解决方案或透明使用在解决方案,以保护用户避免相对的复杂性,他们也更容易被孤立和/或随着时间的推移而增加。这是有道理的,其是为了适用于那些用来管理和保护密码的同样的控件,以及备用凭据。事实上,推荐的用来阻断相关的威胁的最佳实践包括:

移动授权密钥到保护位置

定期轮换密钥(确保密钥泄露事件访问的最终终止)

为授权密钥执行来源限制

为授权密钥执行命令限制

因此,CA特权访问管理器具有控制和促使企业客户考虑替换凭据类型的其他功能,包括SSH密钥和用于访问AWS资源和管理控制台的PEM编码密钥。换言之,借助CA特权访问管理器这些凭证可以是:(1)vaulted、(2)轮换,并且通过配置策略实施控制和(3)以最小的被盗或曝光潜在可能的方式被检索和使用。

云时代的交付

在混合云时代,一个特权密码管理解决方案成功的另一个主要限制因素是其适用性,这不仅仅是物理上的,而且还涉及到与云网络的需求和能力的协调一致。

10、企业内部部署、虚拟机和基于云的交付选项

CA特权访问管理器支持三种简便的部署选项,以帮助企业保持跟上复杂的混合云架构的步伐:

一款硬化的物理设备——在企业数据中心提供多种型号的传统机架安装

一个亚马逊机器实例(AMI)——为部署亚马逊EC2基础设施进行了预配置

一个OVF兼容的虚拟设备——为在VMware环境中部署进行了现成的预配置

无论使用哪种部署选项,企业客户均能够获得一种使他们得以管理整个混合云基础架构的解决方案。

11、云匹配的架构和方法

CA特权访问管理器架构特意纳入了许多功能,使其适用于混合云环境。包括以下三个实例:

自动发现和保护——在混合云环境中,运营人员可以使用一个命令创建(或淘汰)任意数量的系统。针对这种情况,CA特权访问管理器可以通过利用适用的API自动发现虚拟化和云计算的资源,然后配置(或撤销)适当凭据和访问管理策略。

避免身份岛屿(即,身份联合)——CA特权访问管理器消除独立的身份信息孤岛的一种方式是通过充分利用一家企业组织已经拥有的任何身份基础设施。而另一方面,具体到AWS的部署,其是通过短暂的用户支持的方法,使得企业组织不得不在AWS身份和访问管理子系统保持独立的身份信息。

启用自动化——一款综合的API允许编程访问,并自动化实现所有的CA特权访问管理器的功能(例如,外部管理和业务流程系统)。

12、云就绪的可扩展性和可靠性

特权凭证管理是一家企业组织IT基础设施的关键组成部分。当执行被扩展到支持以一个完全自动化的方式运行的A2A用例时,尤其如此。为此,CA特权访问管理器包括本地集群和负载分配功能,以满足大和最苛刻的环境的高可用性和可扩展性的要求。较之普通的替代方案,借助CA的特权访问管理器,企业客户无需再投资于单独的外部负载平衡器的必要了,没有了典型的性能延迟,也无需购买额外“可选”的功能特点许可了。如果确实需要的话,由于响应时间操作上可以接受,CA特权访问管理器集群甚至可以跨地理上分散的数据中心和云计算环境配置冗余。

第四部分:结论:在云时代征服特权凭证管理

管理和保护特权凭证对于企业减少风险,并符合相关的监管要求是必不可少的。随着混合云环境所带来的管理控制台所具有的前所未有的功能特点和仅仅只需点击鼠标就能实现数百款目标系统添加/删除的能力,这也成为了一个日渐复杂和日益重要的问题。

对于那些正在他们的信息安全战略这一关键重要的领域寻找解决方案的企业组织而言,他们需要评估备选解决方案的深度控制能力,覆盖范围和对于云服务的匹配程度。正如本文中所讨论的,CA公司的特权访问管理器从这三个维度精准的满足了当今企业组织的需求:设计旨在降低风险、提高运营效率、并通过支持传统、虚拟化和混合云基础设施以保护客户投资的下一代特权凭证管理解决方案。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2024-05-15 19:24:19
云技术 Akamai持续深耕云服务, 三大价值收获广告科技行业青睐
一家广告交易所改用Akamai云平台后,总体云成本降低了60%。 <详情>
2023-04-24 11:50:42
云资讯 IDC 2022下半年中国公有云市场 腾讯云跌出TOP3
2022下半年,持续三年的疫情深刻影响着整体IT市场环境的发展,公有云市场企业用户不稳定因素增加。 <详情>
2023-04-24 08:49:41
云资讯 中国电信天翼云稳居中国公有云市场前三
随着数字化浪潮深入,天翼云将持续坚持科技创新,围绕企业多元化上云需求提供更丰富的产品和服务,赋能千行百业数字化转型升级,持续推进数字中国建设。 <详情>
2023-04-09 23:05:59
市场情报 中兴通讯2022年业绩说明会直击:精准务实,稳健增长
2023年,外部环境依然复杂,但数字经济已经成为全球各国促进经济复苏,重塑竞争优势的关键力量。 <详情>
2023-02-02 15:24:36
云资讯 天翼云以10.2%份额位列中国公有云IaaS+PaaS市场第三
天翼云助力各行各业向着数字化、智能化高质量发展。面向未来,天翼云将持续升级技术、打磨产品、完善服务,为千行百业数字化转型提供普惠云服务。 <详情>