安全牛|下一代堡壘機 數據中心的特權身份銀行
發(fā)布時間: 2019.04.25 | 來源: 安全牛


4月11日,帕拉迪全國(guó)渠道(dào)合作夥伴大會(huì)在杭州舉行。

2005年,發(fā)明并專注堡壘機的帕拉迪,到2018聚焦IAM(身份訪問管理)的帕拉迪,“不跟風、不浮躁、不盲從” 的産品基因仍是這(zhè)家14年安全企業的重要内涵。

安全問題,不隻是技術,更多的是曆史原因,人性的弱點,還(hái)有成(chéng)本。要把安全與管理,融到一起(qǐ)做。

——帕拉迪總經(jīng)理陳雲

對(duì)上面(miàn)這(zhè)段話,陳雲的解讀是,人性的弱點指的是弱口令,講的是對(duì)賬号、權限的管控;出于成(chéng)本考慮,至少要對(duì)企業的心髒——數據庫,做針對(duì)性防護;針對(duì)企業數據中心,要在保障運維低成(chéng)本、靈活、穩定的前提下保證安全,同時大量的日志數據,可以用來做分析,輔助運維和安全工作的管理和自動化。這(zhè)是陳雲想的四個方向(xiàng)。這(zhè)四個方向(xiàng),從品牌角度來看,隻有堡壘機還(hái)留在帕拉迪,剩下的IAM、數據庫安全、日志分析都(dōu)在帕拉迪。



“今年下半年,帕拉迪將(jiāng)正式成(chéng)爲帕拉迪的全資子公司。”

不難看出,主打IAM的帕拉迪將(jiāng)成(chéng)爲陳雲之後(hòu)的重要戰略方向(xiàng),是未來。

但有意思的是,對(duì)于帕拉迪而言,堡壘機目前還(hái)不是過(guò)去。帕拉迪認爲,堡壘機將(jiāng)會(huì)發(fā)展爲獨立與數據中心、以賬号爲中心的統一安全管理平台。更重要的是,堡壘機還(hái)要能(néng)與自動化運維平台、自動化設備打通,成(chéng)爲一切對(duì)數據中心資産訪問行爲的必經(jīng)通道(dào)。

基于此,在此次大會(huì)上,除了溝通其渠道(dào)和銷售戰略外,帕拉迪還(hái)發(fā)布了一個重要的産品-下一代堡壘機(PAM),以滿足自動化運維時代,企業數據中心對(duì)賬号管理和通道(dào)控制的需求。


構建數據中心的特權賬号“銀行”

帕拉迪技術總監王楓表示,傳統堡壘機面(miàn)臨的問題,以及堡壘機在數據中心定位的改變,是此次發(fā)布下一代堡壘機的重要原因。

總的來看,傳統堡壘機面(miàn)臨以下困境: 

o 無法支持大并發(fā)和集群擴展;

o無法支持自動化平台特權賬号的使用,無法配合ITSM(IT服務管理)、CMDB(配置管理數據庫)等系統的流程化運維;

o  無法支持移動端的運維和權限控制;

o無法支持可視化授權;

o 無法自動收集賬戶信息。

帕拉迪認爲,下一代堡壘機,即特權賬戶管理中心,要成(chéng)爲數據中心的 “特權身份銀行”,就(jiù)必須實現通過(guò)可編程的API對(duì)接自動化運維平台,保證其對(duì)資産訪問權限的調用;同時,針對(duì)特權賬号安全,可以進(jìn)行主動安全評估,以及便捷的管理;再結合數據上傳/下載通道(dào)的管控,實現安全閉環。

 

作爲傳統堡壘機的開(kāi)創者,從技術層面(miàn),王楓認爲,帕拉迪的重要優勢或門檻有兩(liǎng)點,一是堡壘機産品本身的成(chéng)熟穩定,這(zhè)點在對(duì)超大集群部署的能(néng)力中就(jiù)有體現。

“我們銀行的客戶很多,他們非常看重堡壘機的可靠性。”

第二點,就(jiù)是堡壘機本身的安全。

據王楓介紹,帕拉迪的堡壘機是多家ICT大廠OEM的首選,特别是出口海外市場。不僅是因爲其性能(néng)和能(néng)力,在安全層面(miàn),帕拉迪也下足了功夫。

國(guó)外市場對(duì)堡壘機本身的安全性尤其重視,當初,在産品的安全加固就(jiù)用了我們一年半的研發(fā)精力。我們支持8-10種(zhǒng)身份認證模式。同時,我們將(jiāng)堡壘機看作一個後(hòu)端應用,所以有一整套的安全加強方案,包括針對(duì)堡壘機的WAF,可以實現參數和url的白名單,以及針對(duì)堡壘機數據庫的安全監測系統。”

無論是成(chéng)熟穩定,還(hái)是安全性,這(zhè)些都(dōu)是開(kāi)源堡壘難以短時間實現的。

“堡壘機不會(huì)做運維自動化,那不是我們熟悉的領域。但是對(duì)于現在大熱的自動化運維平台,客戶高層也是持不信任态度的,所以從客戶層面(miàn)就(jiù)會(huì)樂于推動這(zhè)些平台和堡壘機的對(duì)接。統一的賬戶安全體系,特别是已經(jīng)在用堡壘機的客戶,這(zhè)是一層重要安全保障。”



此外,對(duì)于堡壘機和IAM的關系,王楓認爲,堡壘機受運維協議的帶寬限制,更關注運維人員的訪問,而IAM是囊括所有業務線的身份體系,可以說堡壘機是IAM的一個子模塊。但堡壘機對(duì)身份、權限的管控,以及訪問行爲的審計和監測(也正是4A的内容),追溯到自然人的能(néng)力,可以擴展的更大。這(zhè)個需求也是确實存在的。

目前,我們IAM方案的客戶政府機構居多。比如社保局、區政府等。雖然他們的身份建設滞後(hòu),有大量的老舊系統,但我們的IAM方案是外挂式,不需要和這(zhè)些系統開(kāi)發(fā)對(duì)接,同時自身又有安全屬性,還(hái)有很多場景功能(néng)開(kāi)關可供選擇,所以非常适合他們。”

安全牛評:

 堡壘機已經(jīng)是非常成(chéng)熟的産品,但是目前的痛點和客戶的需求方向(xiàng)也很清晰。作爲國(guó)内堡壘機品牌領頭羊,更契合客戶對(duì)自動化和移動化運維的需求場景及趨勢,更好(hǎo)的完成(chéng)從堡壘機到IAM的過(guò)渡使命,是帕拉迪此次發(fā)布“下一代堡壘機”的兩(liǎng)個重要意義。從品牌策略來看,也是對(duì)應且明确的。帕拉迪已經(jīng)成(chéng)爲國(guó)内堡壘機的重要品牌,結合國(guó)内重要的合規市場需求,這(zhè)點很難丢棄,但是除此以外,圍繞數據庫和身份而不局限在特權賬号,IAM才是更廣闊的未來。


Copyright © 2019 All Rights Reserved Designed
杭州梵汐網絡科技有限公司