特许账户管理(账户权限管理)

账户控制

商业世界依赖于数据的运行。对电子数据的使用和依赖程度与日俱增,因数据破坏而导致的风险也越来越大。恶意的、粗心的甚至是无心的行为都可能导致数据被破坏。

口令本身不会给我们带来任何损害,但如果不对口令予以管理,后果将会非常严重。

如果您没有对您关键的口令实施有效的管理。

您是否意识到在您的网络中特许账户多于终端用户账户? 如果您把您所有的设备、服务器、数据库、本地管理员以及业务账户汇总在一起,所得到的结果会让您感到惊讶。

因为知道您逐步升级的特许账户未实施管理,或至多只是偶尔变更,所以您来此寻求爱迪德的帮助。您是否考虑过这样一个问题:所植入的账户是否是您的开发人员已知的特许账户?您应该对这一问题加以考虑。您的审计员是否给您提出了更改所有关键口令的建议?在您的审计员提出这个建议前,您是否已经打算对所有的关键口令进行更改?

为了了解您所在环境的复杂性,我们建议组织内所有的团队参与进来并对管理程序进行修改,使特许账户口令的定期修改得以贯彻执行。

对您的关键口令实施控制并将这些口令置于管理之下,最明显的几个好处是:

  • 权限可立即撤消: 在管理员和开发人员职位发生变动或离开组织时,将他们的访问特权及时撤消,这一点非常重要。
  • 避免破解发生: 密码保持不变的时间越长,被攻击的风险就越大。
  • 消除默认口令: 许多设备、操作系统及应用程序等都自带了默认口令,如果不对这些默认口令加以修改,就会导致漏洞以及违反合规性。
  • 减少密码知识: 知道密码的人越少,因疏忽或恶意破坏的可能性就越小。完全消除口令知识(除非必要)将大大提高口令的安全性。
  • 无人管理接入: 包含有口令的脚本和程序存在显而易见的风险。 取消嵌入式口令并以证书运行访问的方式取而代之,将大大提高公司的安全性。

通过特许账户自动化管理,给您带来的其他好处如下:

  • 确保业务的持续性: 如果在对这些口令采用人工方式进行修改时,会不可避免地产生一些人为错误,如键入错误、账户遗漏和时序错误等,所有这些错误都会导致业务的暂停。 而采用自动化后,将不会发生这些情况。
  • 降低成本: 您所在的环境中存在的账户数量、口令修改的频率以及系统的分发等都会对您在维护这些口令时可能发生的成本产生重大影响。 而自动化功能会降低这方面的成本。
  • 提高合规性: 对密码的管理变得越来越规范。在保护、发布和管理这些特许账户时,如果想通过人工控制方式定期检验这些账户是否得到了适当的控制将变得十分困难。而自动化功能将帮确保您符合法规的要求。
  • 简单化: 其它的方式如公开密钥体系(PKI)和Kerberos网络认证协议都需要对您的身份验证模式进行重大的调整,或需要对您的基础设施和系统进行重新构架。这些解决方案无法提供100%的覆盖,这就需要您对口令控制下的系统进行部分维护。 口令的自动化管理允许您在不改变口令的情况下满足审计和合规性要求。

我们使用口令已经有多年的历史,并仍将继续使用。口令创建的自动化程序、安全的存储这些口令,根据需要将这些密码发放给管理员或运行中的程序,定期修改密码,这些措施都可以使我们免于承担可能发生的高额费用,避免其它能引起审计人员高度注意的错误,这一切都依赖于特许账户管理。

特许账户管理的基础构架

随着审计环境压力的增大,产生了两种类型的特许账户管理(PAM)解决方案买家:

  • 战略买家。 这些个人和团队不仅考虑到了当前口令管理所带来的挑战,还考虑到了他们的长期需求、集成要求、扩展及增长计划、性能需求、成本削减机会、服务水平的提高、新的应用机会以及审计及合规性报表的完善等。 选择Cloakware解决方案的客户就属于此类买家。

  • 战术买家。 这些买家感觉到了审计压力,因此而常感到资源不足或不知所措。为了通过审计,他们迫不急待地做出了购买决策。购买了一些不匹配的解决方案然后再回来选择Cloakware解决方案的客户就属于此类买家。

特许账户管理(PAM) 是您业务成功运营的核心保证,是您基础构架中的一个关键组件。选择PAM解决方案和供应商,应像选择数据库、客户关系管理(CRM)系统或身份识别管理系统等其它关键组件一样予以重视。

特许账户管理解决方案的基础构架由许多相互关联的工作部分构成,这些工作将确保关键账户的安全存储、发放和管理功能的有效执行。在选择供应商时,其所提供的打包解决方案应能够支持您所选择的平台,能够与您的现有设备、操作系统、数据库和应用程序兼容,能够与您的基础构架、身份识别管理工具协作,更重要的是,该打包解决方案能够提供系统组件广泛部署的能力,从而满足您对性能、可扩展性、可用性、冗余性及地理分布需求的要求。

Cloakware Password Authority 无翻译内容。 对关键的共享特许账户口令的保护具有重要的战略意义,它要求有一个稳定的多层级安全性,这是安全治理策略和身份识别实践的一个组成部分。

Cloakware Password Authority (CPA)为系统的目标设备(无论是由系统管理员人工接入或由软件程序和脚本接入的设备)提供共享特许口令的安全接入和管理。

Password Authority是一个符合J2EE标准的软件解决方案,其构架支持扩展,从最简单的单个站点人工接入到具有高可用性的多个站点部署和分发式的程序接入。Password Authority集成了Cloakware白箱安全保护技术,确保了对关键数字资产在存储和传输时的高级别保护。

Cloakware Password Authority概述 安全性 Cloakware是数字资产安全保护领域的领军公司。 Cloakware利用白箱安全保护技术对未使用、传输和使用状态下的目标系统证书提供安全保护,有效地防范了系统安全性被破解的风险。

Cloakware Password Authority Security解决方案的核心是为了验证CMVP/NIST FIPS 140-2 标准,目前支持经FIPS 140-2验证的硬件安全模块。

高效性 Password Authority对您目标系统(服务器、应用程序、工作站、路由器等)中的口令提供使用周期内的自动化管理,还为授权用户提供一个直观的网页界面,使他们能够快速地获得目标账户的当前口令。

外部目录 (LDAP)集成为用户管理和鉴权提供了到Password Authority的动态接入,优化了您组织当前的目录管理程序。

想要创建并实施复杂的口令构成策略和制定口令更改的频率,Cloakware Password Authority提供了一些内置功能如口令更改、口令登出/登入、故障单系统集成、双重授权工作流程以及通过SSH或RDP(密码不可见)到目标系统的自动登录、Password Authority工作流程的双重授权,或通过我们的技术热线集成原因码。

Password Authority服务器可以安装在Microsoft Windows、Linux或Solaris操作系统之上,可将您所有的网络资源置于管理之下并配置标准的Password Authority 目标连接器,或用Password Authority扩展连接器构架配置自行定制的连接器。 对于程序化接入,Password Authority可支持32和64位的操作系统。 所配置的Java API 和CLI增强了自动化和定制功能。 Password Authority是专为企业构建的、可扩展的安全解决方案。

合规性

想要确保法规的符合性并不是一件耗时费力的事情。 Password Authority可根据您定义的通过Password Authority 实施的策略为目标证书提供安全接入控制和使用周期管理。 其度量存储和报表功能可快速地为审计人员提供一份完整的证书管理审计记录报告。

业务的持续性

Password Authority可以作为一个单个的服务器实例进行部署,也可作为一个集群(如为高交易率)进行部署,还可以为地理分散的组织在多个地点(一个主要地点一个次要地点或一个主要地点多个次要地点)进行部署。 Password Authority具有很高的灵活性,完全可以适用于您现有的IT基础构架,经过授权后,还能根据您的要求进行扩展。 Password Authority所具有的多实例授权功能可保证灾难恢复(DR)计划实施的灵活性。

Password Authority的程序接入客户端具有多家庭功能,同时还能提供安全的本地缓存。 这一特性降低了网络的通信流量,消除了目标证书请求的网络延迟。 在无法接入Password Authority服务器时,可从本地客户端缓存中安全地提出请求。

您的口令管理问题有多严重?

我们以Cloakware一个银行业的客户为例,该客户有4,000 名IT管理员,在伦敦、香港、纽约和瑞士都设有数据中心。 该客户的整个运营系统中需要确认的特许账户高达550,000个。 在这些特许账户中,约有20%为有人管理的账户(真实的人充当的管理员),余下的账户为无人管理的账户(A2A)。为实施对这些账户的管理,Cloakware与客户一起共同实施了一个统一的、可集中控制的口令管理解决方案,这一方案运行于安装在多个地点的40多台虚拟服务器上。

无论您需要管理成千上万个特许账户,还是只有几百个特许账户,您都应把口令管理纳入投资回报率议题中予以高度重视。 根据客户的输入项,我们已为您开发了一个计算工具,您可以使用这个工具来计算您数据中心中的口令管理问题的规模和成本。