4月11日，在2019年帕拉迪全國(guó)渠道(dào)合作夥伴大會(huì)上，帕拉迪總經(jīng)理陳雲宣布帕拉迪下一代堡壘機(PAM)正式發(fā)布，以滿足自動化運維時代，企業數據中心對(duì)賬号管理和通道(dào)控制的需求，爲企業安全智能(néng)運維賦能(néng)。

不熟悉帕拉迪和帕拉迪的人也許會(huì)問：爲什麼(me)帕拉迪的大會(huì)，發(fā)布的是帕拉迪的産品?答案就(jiù)是，帕拉迪和帕拉迪本是同源。2005年，陳雲成(chéng)立杭州梵汐網絡科技有限公司，并在當年發(fā)布了堡壘機。2015年，陳雲意識到用戶真正需要的是IAM(Identity and Access Management 即身份認證與訪問安全管理)，于是又創立了專注于數據庫應用安全領域的杭州梵汐網絡科技有限公司。

陳雲認爲，網絡安全有三個“癌症”：安全漏洞、人性的弱點和數據庫安全問題。對(duì)抗網絡安全“癌症”需要以用戶的問題爲導向(xiàng)，從三個方向(xiàng)出發(fā)：防護效果、解決安全風險帶來的時延問題、保證用戶業務系統的穩定。“安全并不僅僅是技術原因，更多的是來源于曆史原因和管理原因，要把這(zhè)些原因統一考慮，必須把安全和管理融爲一體來做。”

也正是出于這(zhè)樣(yàng)的考慮，帕拉迪重在安全管理，持續專注于數據庫安全、體系安全、日志大數據分析三大方向(xiàng)。而作爲安全管理的一個重要角色，IAM的一個重要子模塊，堡壘機將(jiāng)仍舊由帕拉迪繼續深耕。“今年下半年，帕拉迪將(jiāng)正式成(chéng)爲帕拉迪的全資子公司。”陳雲在演講中還(hái)宣布。

那麼(me)，什麼(me)是下一代堡壘機?下一代堡壘機具有哪些能(néng)力?帕拉迪下一代堡壘機PAM又添加了哪些新的元素呢?

新時代需要新的堡壘機

随著(zhe)IT技術的不斷發(fā)展，數據中心一直在不斷演進(jìn)。在主機層面(miàn)，從傳統物理服務器到虛拟機，到到微服務架構;在網絡層面(miàn)，從傳統網絡到現在的SDNS;在存儲層面(miàn)，從倉儲到數據湖;在數據中心的運維層面(miàn)，從人工運維到現在IT運維自動化，開(kāi)發(fā)自動化，DevOps和AIOps等等概念的出現，使得現有的傳統堡壘機無法适應這(zhè)些IT基礎架構的變化，無法滿足用戶的安全需求，新時代需要新的堡壘機。

對(duì)此，帕拉迪技術總監王楓也表示，堡壘街亟需變革升級。曆經(jīng)多年發(fā)展，雖然堡壘機已形成(chéng)了較爲完善的賬号管理、權限管理和審計體系，但是依舊存在諸多缺陷：

一是，單台設備無法支持多用戶大并發(fā)問題，無法支持集群擴展。

二是，管理不方便，授權需要添加策略，無法可視化授權，即點擊及實現授權，人資産分别以樹狀呈現。

三是，訪問終端局限，移動物聯網時代，無法支持手機運維及對(duì)數據中心資産及權限的實時掌控。

四是，無法自動收集賬号，當目标資産賬号變動時，堡壘機無法知曉和響應。

五是，無法支持自動化平台的特權賬号使用，自動化平台的運維行爲成(chéng)了法外之地。

六是，無法與ITSM、CMDB、DevOps、網管平台等系統聯動配合流程化運維。

下一代堡壘機是什麼(me)樣(yàng)的呢?

該如何解決以上難題，滿足未來數據中心的安全管理需求呢?下一代堡壘機應運而生。

“所謂的下一代，更形象來講是新一代，新一代堡壘機針對(duì)新一代數據中心的新需求，滿足現有IT基礎架構。”帕拉迪技術總監王楓認爲，下一代堡壘機強調特權賬号管理中心，并且需要具備以下六大屬性，才能(néng)稱爲下一代堡壘機。

屬性一：提供可編程環境通道(dào)。可進(jìn)行自動化程序穿透，通過(guò)API接口，讓運維自動化不再是法外之地，整個自動化過(guò)程可管理可審計。

屬性二：支持高可靠的集群和分布式部署。數據中心體量越來越大，相應的堡壘機也需要與之相适應，需要支持任意環境下的集群和分布式部署。

屬性三：支持移動管理和運維BYOD。移動互聯時代，移動管理和運維逐漸成(chéng)爲剛需，下一代堡壘機PAM可通過(guò)專用App從管理者和運維者角度進(jìn)行多方位管理和操作。

屬性四：數據安全控制。數據安全是企業關注的核心，要在運維過(guò)程中解決數據的未授權拷貝及外洩問題。

屬性五：賬号安全管理。對(duì)服務器和網絡中的各種(zhǒng)賬号都(dōu)能(néng)一鍵收集，并對(duì)其狀态一目了然，并做到最全單點登錄。

屬性六：高體驗，高便捷。對(duì)賬号權限可自定義管理，支持多浏覽器，爲客戶提供可視化權限矩陣展示，提供一站式安全設置等。

王楓表示：“堡壘機的重要程度高于網絡防火牆。它管理所有權限，是高頻的安全設備，使用便捷且支持各種(zhǒng)應用環境，并且其自身安全性也極爲重要。好(hǎo)的下一代堡壘機要成(chéng)熟穩定、安全可靠、技術先進(jìn)。”

爲企業安全智能(néng)運維賦能(néng)，帕拉迪下一代堡壘機PAM發(fā)布

那麼(me)，帕拉迪的下一代堡壘機PAM囊括了哪些功能(néng)?又添加了哪些新的元素呢?

王楓告訴記者，帕拉迪下一代堡壘機PAM不僅具有傳統堡壘機的全部功能(néng)，比如：單點登錄、多因素身份鑒别技術、OCR标題識别技術、數據同步技術以及RemoteApp無縫應用等。“還(hái)將(jiāng)爲數據中心基礎設施提供統一的、獨立的帳号管理及通道(dào)控制服務，數據中心基礎設施可編程，至此，SDN、SDS、ITSM、CMDB、自動化運維、各網管軟件等，將(jiāng)可通過(guò)下一代堡壘機對(duì)數據中心基礎設施進(jìn)行編程，實現控制閉環及AI處理。”

王楓以金融行業應用爲例解釋說，随著(zhe)電子銀行業務的蓬勃發(fā)展，現在很多的銀行IT架構投入的人力物力在增加，引入各種(zhǒng)自動化技術，通過(guò)自動化提高工作效率。而與此同時，安全風險也悄然而至，自動化變成(chéng)了安全漏洞點。自動化平台爲了提供便捷交付業務而生，卻沒(méi)有更多的防護措施，因此變成(chéng)了不透明的黑盒子，比如腳本是否被(bèi)惡意利用，自動化平台外不得而知。一旦出現問題，管理員很難把自動化平台權限快速收回終止業務。而通過(guò)下一代堡壘機，管理員可以一鍵收回權限，切斷不安全的通信，然後(hòu)進(jìn)行适當的人工幹預。

除此以外，在本次大會(huì)上，王楓還(hái)對(duì)數據中心數據安全縱深防方案、數據庫全生命周期安全解決方案，進(jìn)行了詳細的解讀，分析了馬上要發(fā)布實施的等級保護2.0的相關要求，給出了相關解決方案。