<style type="text/css"> .wpb_animate_when_almost_visible { opacity: 1; }</style>
關于我們
Gartner PAM魔力象限連續多年據首,20年專注于特權賬號安全管理


北京網信元科技是CyberArk在中國區的代理商,多年的大項目實施經驗。詳情致電010-82130987或發郵件至[email protected]

11.jpg

CyberArk PAS

 

特權賬號安全解決方案

 

特權賬戶代表了組織如今所面對的安全漏洞。幾乎每次網絡攻擊都會利用此類強大的賬戶,而且擁有此類賬戶的任何人均可控制組織資源、禁用安全系統以及訪問大量敏感數據。為了保護這些賬戶及其支持訪問的重要資源,組織需要制定好全面的控制措施,以便保護、監控、檢測和響應所有特權賬戶活動。

CyberArk是特權賬戶安全領域值得信賴的專家。CyberArk特權賬戶解決方案采用了完整的安全性設計,可針對駐地網、云計算和工業控制系統(ICS)環境提供全面的解決方案。該面向企業的完整特權賬戶安全解決方案可防篡改、可擴展且針對復雜的分布式環境構建,能夠更大限度地防止高級外部和內部威脅。

 

22.jpg  

CyberArk PAS 套件由5個部分組成:

·         CyberArk EPV (Enterprise Password Vault)–企業密碼保險庫

基于CyberArk 專利的Vault技術,為企業密碼提供安全的密碼存儲解決方案。同時,EPV負責為用戶提供管理和使用界面,并且執行企業密碼安全策略。CyberArk 是所有PAS方案提供商中能夠提供專門的密碼安全存儲方案的。

·         CyberArk PSM (Privileged Session Management) – 特權會話管理

是一個保護特權用戶和賬戶訪問目標系統的集中入口。它是隔離,控制和監控整個數據中心所有特權活動的單一解決方案。它補充了CyberArk在市場領先特權身份管理套件,一個企業級的,統一的基于策略的解決方案,它保護、管理并強制整個數據中心的策略和工作流程來訪問特權共享賬號。

·         CyberArk AIM (Application Identity Management) – 應用賬號管理

解決固化在代碼中的用戶密碼信息的管理問題,CyberArk AIM具有其他PAS選擇所不具備的廣泛的程序開發語言和平臺支持性。

·         CyberArk OPM (On-Demand Privileged Manager) – 隨需應變的特權賬號管理

是第一款集中管理和監控特權用戶和賬號的解決方案。類似root這樣的UNIX/Linux系統用戶的權限使用將可以被細顆粒地管理,并且命令行本身和輸出記錄將被記錄。OPM for Windows可以簡化windows 終端管理,并且最大程度保護終端安全。

·         CyberArk PTA (Privileged Threat Analytic) – 特權威脅分析

通過監控被管理服務器上的日志,結合CyberArk中的日志,準確發現非正常的賬號使用情況,及時發現攻擊行為或者密碼泄露事件。

33.jpg

 

CyberArk DNA(發現和審計)是一個免費的評估工具,可幫助組織了解特權賬戶安全風險的范圍。DNA發現在整個企業中的特權賬戶、SSH密鑰、服務賬戶、設備和應用程序的位置和狀態。此工具可以幫助組織確定項目優先級,建立業務案例和計劃特權賬戶安全項目。

44.jpg

密碼保險庫

 

CyberArk EPVEnterprise Password Vault讓企業容易地保護,管理和更新所有類型的特權密碼,包括服務器,數據庫,虛擬化設備,網絡設備,應用程序。為了做到這些CyberArk EPV對所有密碼建立集中的安全存儲,訪問和維護管理機制,并且對所有對密碼的訪問活動進行詳細審計和跟蹤 EPV包含4個主要組件:EPV密碼保險庫Va ult 為密碼提供安全的存儲, CPM Central Password Manager)按策略自動更新密碼, Windows GUI 客戶端允許管理員訪問/配置EPV系統,EPV Web Access允許IT人員訪問和獲取密碼

 image.png

·        EPV企業密碼保險庫 Vault – 這是一個為企業特權賬號密碼提供安全的的集中存儲,保護和管理訪問的倉庫。EPV Vault 構建于 CyberArk 專有的 Vaulting Technology™ 技術,提供多層次的安全機制,保證最高的安全要求。Vault可以安裝Active-StandbyActive VaultDR Vault;亦可將Active Vault安裝為Cluster Vault

·        EPV Central Password Manager CPM – CPM為多種目標系統的特權賬號密碼提供更新,包括各種路由器,數據庫,服務器,目錄服務和固化于應用程序中的密碼。 包括Z/OS, OS390, AS400,Windows Server, AIX, HP-UX, Solaris, SuSE Linux, Redhat Linux, Sco Unix; 數據庫包括各版本的SQL Server, Oracle, Sybase ASE, Sybase IQ, DB2, Informix, MySQL;以及各種網絡設備/安全設備,包括Cisco, Juniper。通過二次開發能與常見工具及其他系統和設備進行集成,起到密碼修改、驗證、更正的目的。CPM還可以自動發現被管理服務器上的賬號列表,以發現“違規”創建/修改權限的賬號,避免幽靈賬號的產生。

·        Windows GUI 客戶端此客戶端允許管理員訪問/配置EPV系統,包括設置用戶信息,定義系統訪問等等。

·        Password Vault Web Access PVWA – 這個基于Web的界面允許IT人員能夠快速地獲取目標系統的特權賬號密碼。 

特權會話管理器

CyberArk Privilege Session Manager (簡稱PSM)具備審計的模式,改善企業的安全處境伴隨著一系列豐富的產品特點,例如:

【安全和審計】

l  加強企業的政策和工作流程,例如雙重控制發起會話,提交一個合理的工單系統,控制會話持續時間等。

l  基于HTTPS的安全訪問允許本地和遠程訪問企業的被管設備

l  根據企業策略和最終用戶角色開啟會話記錄

l  單點登錄發起特權會話無需暴露特權賬號密碼,例如第三方的供應商

【特權會話記錄】

PSM實現的硬盤錄像機回放式的記錄特權會話,應對事件的分析和司法審查:

l  SSH會話擊鍵日志以及Oracle/MSSQL會話命令審計

l  用“時間點”的方式來搜索特權事件來觀看其中一段會話記錄

l  單臺服務器支持超過100個并發會話記錄存儲為高度壓縮格式

l  高度可擴展性和負載平衡/高可用性

l  隱私規則的支持,允許當會話開始錄制時在屏幕上通知用戶

【企業級架構】

l  中央管理和存儲分布式體系結構對于多網絡和多站點環境是理想的,并受益于單一管理,審計和監控界面

l  能夠與企業基礎設施進行集成,包括目錄服務,用戶管理,驗證(雙因素、RSARadius, PKI, LDAP等)SIEMSNMP, SyslogSMTP

【廣泛工具支持性】包括:

無需客戶端安裝軟件,即可支持使用多種遠程客戶端登錄工具進行單點登錄, 字符類客戶端登錄工具包括SecureCRT、Netterm, 圖形類客戶端登錄工具包括Xmanager、SQLPlus、PL/SQL Developer、Sybase Central、isql、MSSQL Studio Management、VMWare vClient,PCOM,WC3270Client等等。幾乎任意客戶端連接工具均可以集成。

image.png

應用程序內嵌賬號管理

 AIM介紹

CyberArk提供了業界唯一的應用程序賬號管理解決方案(Application Identity Management),全面解決了保護和管理應用程序賬號的難題。該方案解決了在應用程序代碼,配置文件,腳本中的密碼存儲、審計、管理的挑戰,使得所有的高度敏感密碼,集中和安全地存放在CyberArk的Vault(密碼保險庫)中。利用這種獨特的方法,企業能夠符合內審和外審的合規性要求,做到密碼定期更換,并且可以監控對所有系統、數據庫、應用程序的特權訪問。

 

【架構描述】

CyberArk 企業級密碼保險庫由如下幾個主要組件組成:

1.    Vault:是整個方案的核心,是一個高度安全的存儲,用于存放應用程序的密碼集中存儲。Vault提供了超過10級的安全防護,包括:防火墻,加密,VPN,訪問控制,多種用戶驗證等,同樣對所有的訪問記錄都有審計日志。

2.    集中的策略管理器(Central Policy Manager,CPM)主要負責自動修改密碼,主要是在Vault中和被管理的目標服務器上進行同步,比如數據庫等。

3.    Application Password Provider是一個安裝在任何運行應用程序服務器上的組件,負責管理和保護密碼,并作為一個安全的本地緩存,并且驗證需要訪問密碼的應用程序。本地的緩存保證了100%高可用性及時網絡連接出現故障,并且為本地應用程序提供高速訪問,這些也都無需考慮網絡的性能。

4.    Application Password SDK通過簡單的函數調用就能使得應用程序獲得訪問其他網絡資源,比如數據庫。這一點從根本上消除了硬編碼密碼的必要性,并且允許應用以最直接的方式訪問到最新的密碼,當密碼修改時,再也不需要修改源代碼或者配置文件。

image.png

 

解決應用程序賬號問題:在AIM方案中有兩種解決應用程序賬號的問題:修改源代碼,或者不修改源代碼。在拉的方式中,應用程序主動從Vault中獲取最新的密碼并使用的。這就消除了硬編碼密碼的需要了,并且完全解決AIM的問題。CyberArk可靠的架構保證了100%高可用性以及高性能,全依賴于Application Password Provider的緩存機制。獲得專利的Vault技術也給予密碼很高的安全性和保密性。

權限顆粒度管理

On-Demand Privilege Manager (OPM)是業界第一款集中的,策略驅動的控制操作系統特權命令的企業級解決方案。在滿足方便用戶使用的同時,加強特權管理,真正做到權限最小原則的整體安全設計思路。

OPM for UNIX/Linux

UNIX/Linux基于個人的特權命令作精細化訪問控制,替代了SUDO的方案,使得類似的控制具有企業級,集中化,簡單管理,強化審計能力的特點。工作方式如下:

image.png 

1.      特權賬號管理員在PVWA中定義IT人員相應的On Demand的策略(命令行的黑白名單)

2.      IT管理員通過傳統的方式登錄UNIX/Linux服務器

3.      OPM Provider讀取相對應的策略,并緩存在本地

4.      IT人員需要執行某些特權命令時,進行On Demand部分提權完成任務,同時OPM Provider會將此提權命令進行記錄

5.      審計人員可以通過文本對IT管理員的On Demand命令進行審計。

 l  命令行授權:對某個管理員實現細粒度的命令行授權

image.png

l  授權命令的審計:對某個管理員執行的特權命令進行記錄

image.png 

相比SUDO配置,OPM for UNIX/Linux有如下技術和管理優勢

項目

OPM

Sudo/Windows組策略

集中化的策略管理

þ

ý

執行命令的審計記錄

þ

ý

安全的shell外殼

þ

ý

安全驅動的架構

þ

ý

企業級解決方案

þ

ý

  

OPM for Windows

OPM for Windows (又稱為Endpoint Privileged Management, EPM)使IT管理員能夠依據最終用戶的角色和職責來提升或減少終端用戶權限、提供顆粒度的控制,從而秉承最低權限管理的安全原則。無論最終用戶處于任何網絡區域,IT管理員能夠為其遠程管理及提供特權管理支持。

 image.png     

 EPM的主要特性如下:

Ø  自動發現用戶執行應用的事件;

Ø  提升或減少應用特權;

Ø  支持策略自動化或實時提權;

Ø  對用戶執行應用的操作進行錄像

Ø  詳細的報表及審計能力

Ø  可設置授信軟件白名單以及不允許執行的指定軟件;

 1.      通過Agent發現Windows機器中所安裝的軟件

image.png

上圖列出了企業環境中windows機器中的軟件應用程序。

 2.      在監控模式下查看一般用戶是否有需要以提權模式執行命令或者應用程序

image.png

上圖為以管理員權限執行SecureCRT。因此會產生事件到ViewFinity。企業可以根據事件累計的數量來判斷是否需要直接給予該軟件以Run As administrator 的權限。

 3.      通過策略配置,對軟件運行時的權限進行控制(提權以管理員執行,或者阻斷運行某些可疑程序)

image.png

針對禁止的應用,當下一次用戶執行時,即使登陸用戶為administrator,也會被阻斷執行惡意程序。

乒乓球直播吧