安全牛|下(xià)一(yī)代堡壘機(jī) 數據中心的特權身份銀(yín)行
發布時間: 2019.04.25 | 來源: 安全牛


4月(yuè)11日,帕拉迪全國(guó)渠道合作夥伴大會(huì)在杭州舉行。

從(cóng)2005年(nián),發明并專注堡壘機(jī)的帕拉迪,到(dào)2018聚焦IAM(身份訪問管理)的帕拉迪,“不跟風、不浮躁、不盲從(cóng)” 的産品基因仍是這家14年(nián)安全企業(yè)的重要内涵。

安全問題,不隻是技(jì)術(shù),更多(duō)的是曆史原因,人性的弱點,還(hái)有成本。要把安全與管理,融到(dào)一(yī)起做。

——帕拉迪總經理陳雲

對上(shàng)面這段話,陳雲的解讀(dú)是,人性的弱點指的是弱口令,講的是對賬号、權限的管控;出于成本考慮,至少要對企業(yè)的心髒——數據庫,做針對性防護;針對企業(yè)數據中心,要在保障運維低(dī)成本、靈活、穩定的前提下(xià)保證安全,同時大量的日志(zhì)數據,可以用來做分析,輔助運維和安全工(gōng)作的管理和自(zì)動化。這是陳雲想的四個(gè)方向。這四個(gè)方向,從(cóng)品牌角度來看(kàn),隻有堡壘機(jī)還(hái)留在帕拉迪,剩下(xià)的IAM、數據庫安全、日志(zhì)分析都在帕拉迪。



“今年(nián)下(xià)半年(nián),帕拉迪将正式成為(wèi)帕拉迪的全資子公司。”

不難看(kàn)出,主打IAM的帕拉迪将成為(wèi)陳雲之後的重要戰略方向,是未來。

但有意思的是,對于帕拉迪而言,堡壘機(jī)目前還(hái)不是過去。帕拉迪認為(wèi),堡壘機(jī)将會(huì)發展為(wèi)獨立與數據中心、以賬号為(wèi)中心的統一(yī)安全管理平台。更重要的是,堡壘機(jī)還(hái)要能(néng)與自(zì)動化運維平台、自(zì)動化設備打通(tōng),成為(wèi)一(yī)切對數據中心資産訪問行為(wèi)的必經通(tōng)道。

基于此,在此次大會(huì)上(shàng),除了溝通(tōng)其渠道和銷售戰略外,帕拉迪還(hái)發布了一(yī)個(gè)重要的産品-下(xià)一(yī)代堡壘機(jī)(PAM),以滿足自(zì)動化運維時代,企業(yè)數據中心對賬号管理和通(tōng)道控制的需求。


構建數據中心的特權賬号“銀(yín)行”

帕拉迪技(jì)術(shù)總監王楓表示,傳統堡壘機(jī)面臨的問題,以及堡壘機(jī)在數據中心定位的改變,是此次發布下(xià)一(yī)代堡壘機(jī)的重要原因。

總的來看(kàn),傳統堡壘機(jī)面臨以下(xià)困境: 

o 無法支持大并發和集群擴展;

o無法支持自(zì)動化平台特權賬号的使用,無法配合ITSM(IT服務管理)、CMDB(配置管理數據庫)等系統的流程化運維;

o  無法支持移動端的運維和權限控制;

o無法支持可視化授權;

o 無法自(zì)動收集賬戶信息。

帕拉迪認為(wèi),下(xià)一(yī)代堡壘機(jī),即特權賬戶管理中心,要成為(wèi)數據中心的 “特權身份銀(yín)行”,就(jiù)必須實現通(tōng)過可編程的API對接自(zì)動化運維平台,保證其對資産訪問權限的調用;同時,針對特權賬号安全,可以進行主動安全評估,以及便捷的管理;再結合數據上(shàng)傳/下(xià)載通(tōng)道的管控,實現安全閉環。

 

作為(wèi)傳統堡壘機(jī)的開(kāi)創者,從(cóng)技(jì)術(shù)層面,王楓認為(wèi),帕拉迪的重要優勢或門(mén)檻有兩點,一(yī)是堡壘機(jī)産品本身的成熟穩定,這點在對超大集群部署的能(néng)力中就(jiù)有體現。

“我們銀(yín)行的客戶很多(duō),他們非常看(kàn)重堡壘機(jī)的可靠性。”

第二點,就(jiù)是堡壘機(jī)本身的安全。

據王楓介紹,帕拉迪的堡壘機(jī)是多(duō)家ICT大廠OEM的首選,特别是出口海外市(shì)場。不僅是因為(wèi)其性能(néng)和能(néng)力,在安全層面,帕拉迪也下(xià)足了功夫。

國(guó)外市(shì)場對堡壘機(jī)本身的安全性尤其重視,當初,在産品的安全加固就(jiù)用了我們一(yī)年(nián)半的研發精力。我們支持8-10種身份認證模式。同時,我們将堡壘機(jī)看(kàn)作一(yī)個(gè)後端應用,所以有一(yī)整套的安全加強方案,包括針對堡壘機(jī)的WAF,可以實現參數和url的白(bái)名單,以及針對堡壘機(jī)數據庫的安全監測系統。”

無論是成熟穩定,還(hái)是安全性,這些都是開(kāi)源堡壘難以短時間實現的。

“堡壘機(jī)不會(huì)做運維自(zì)動化,那不是我們熟悉的領域。但是對于現在大熱的自(zì)動化運維平台,客戶高(gāo)層也是持不信任态度的,所以從(cóng)客戶層面就(jiù)會(huì)樂于推動這些平台和堡壘機(jī)的對接。統一(yī)的賬戶安全體系,特别是已經在用堡壘機(jī)的客戶,這是一(yī)層重要安全保障。”



此外,對于堡壘機(jī)和IAM的關系,王楓認為(wèi),堡壘機(jī)受運維協議的帶寬限制,更關注運維人員(yuán)的訪問,而IAM是囊括所有業(yè)務線的身份體系,可以說堡壘機(jī)是IAM的一(yī)個(gè)子模塊。但堡壘機(jī)對身份、權限的管控,以及訪問行為(wèi)的審計和監測(也正是4A的内容),追溯到(dào)自(zì)然人的能(néng)力,可以擴展的更大。這個(gè)需求也是确實存在的。

目前,我們IAM方案的客戶政府機(jī)構居多(duō)。比如社保局、區政府等。雖然他們的身份建設滞後,有大量的老舊(jiù)系統,但我們的IAM方案是外挂式,不需要和這些系統開(kāi)發對接,同時自(zì)身又(yòu)有安全屬性,還(hái)有很多(duō)場景功能(néng)開(kāi)關可供選擇,所以非常适合他們。”

安全牛評:

 堡壘機(jī)已經是非常成熟的産品,但是目前的痛點和客戶的需求方向也很清晰。作為(wèi)國(guó)内堡壘機(jī)品牌領頭羊,更契合客戶對自(zì)動化和移動化運維的需求場景及趨勢,更好的完成從(cóng)堡壘機(jī)到(dào)IAM的過渡使命,是帕拉迪此次發布“下(xià)一(yī)代堡壘機(jī)”的兩個(gè)重要意義。從(cóng)品牌策略來看(kàn),也是對應且明确的。帕拉迪已經成為(wèi)國(guó)内堡壘機(jī)的重要品牌,結合國(guó)内重要的合規市(shì)場需求,這點很難丢棄,但是除此以外,圍繞數據庫和身份而不局限在特權賬号,IAM才是更廣闊的未來。


Copyright © 2019 All Rights Reserved Designed
杭州位育網絡科技有限公司