<style type="text/css"> .wpb_animate_when_almost_visible { opacity: 1; }</style>
关于我们
Gartner PAM魔力象限连续多年据首,20年专注于特权账号安全管理


北京网信元科技是CyberArk在中国区的代理商,多年的大项目实施经验。详情致电010-82130987或发邮件至chenyongj@netcell.cn

11.jpg

CyberArk PAS

 

特权账号安全解决方案

 

特权账户代表了组织如今所面对的安全漏洞。几乎每次网络攻击都会利用此类强大的账户,而且拥有此类账户的任何人均可控制组织资源、禁用安全系统以及访问大量敏感数据。为了保护这些账户及其支持访问的重要资源,组织需要制定好全面的控制措施,以便保护、监控、检测和响应所有特权账户活动。

CyberArk是特权账户安全领域值得信赖的专家。CyberArk特权账户解决方案采用了完整的安全性设计,可针对驻地网、云计算和工业控制系统(ICS)环境提供全面的解决方案。该面向企业的完整特权账户安全解决方案可防篡改、可扩展且针对复杂的分布式环境构建,能够更大限度地防止高级外部和内部威胁。

 

22.jpg  

CyberArk PAS 套件由5个部分组成:

·         CyberArk EPV (Enterprise Password Vault)–企业密码保险库

基于CyberArk 专利的Vault技术,为企业密码提供安全的密码存储解决方案。同时,EPV负责为用户提供管理和使用界面,并且执行企业密码安全策略。CyberArk 是所有PAS方案提供商中能够提供专门的密码安全存储方案的。

·         CyberArk PSM (Privileged Session Management) – 特权会话管理

是一个保护特权用户和账户访问目标系统的集中入口。它是隔离,控制和监控整个数据中心所有特权活动的单一解决方案。它补充了CyberArk在市场领先特权身份管理套件,一个企业级的,统一的基于策略的解决方案,它保护、管理并强制整个数据中心的策略和工作流程来访问特权共享账号。

·         CyberArk AIM (Application Identity Management) – 应用账号管理

解决固化在代码中的用户密码信息的管理问题,CyberArk AIM具有其他PAS选择所不具备的广泛的程序开发语言和平台支持性。

·         CyberArk OPM (On-Demand Privileged Manager) – 随需应变的特权账号管理

是第一款集中管理和监控特权用户和账号的解决方案。类似root这样的UNIX/Linux系统用户的权限使用将可以被细颗粒地管理,并且命令行本身和输出记录将被记录。OPM for Windows可以简化windows 终端管理,并且最大程度保护终端安全。

·         CyberArk PTA (Privileged Threat Analytic) – 特权威胁分析

通过监控被管理服务器上的日志,结合CyberArk中的日志,准确发现非正常的账号使用情况,及时发现攻击行为或者密码泄露事件。

33.jpg

 

CyberArk DNA(发现和审计)是一个免费的评估工具,可帮助组织了解特权账户安全风险的范围。DNA发现在整个企业中的特权账户、SSH密钥、服务账户、设备和应用程序的位置和状态。此工具可以帮助组织确定项目优先级,建立业务案例和计划特权账户安全项目。

44.jpg

密码保险库

 

CyberArk EPVEnterprise Password Vault让企业容易地保护,管理和更新所有类型的特权密码,包括服务器,数据库,虚拟化设备,网络设备,应用程序。为了做到这些CyberArk EPV对所有密码建立集中的安全存储,访问和维护管理机制,并且对所有对密码的访问活动进行详细审计和跟踪 EPV包含4个主要组件:EPV密码保险库Va ult 为密码提供安全的存储, CPM Central Password Manager)按策略自动更新密码, Windows GUI 客户端允许管理员访问/配置EPV系统,EPV Web Access允许IT人员访问和获取密码

 image.png

·        EPV企业密码保险库 Vault – 这是一个为企业特权账号密码提供安全的的集中存储,保护和管理访问的仓库。EPV Vault 构建于 CyberArk 专有的 Vaulting Technology™ 技术,提供多层次的安全机制,保证最高的安全要求。Vault可以安装Active-StandbyActive VaultDR Vault;亦可将Active Vault安装为Cluster Vault

·        EPV Central Password Manager CPM – CPM为多种目标系统的特权账号密码提供更新,包括各种路由器,数据库,服务器,目录服务和固化于应用程序中的密码。 包括Z/OS, OS390, AS400,Windows Server, AIX, HP-UX, Solaris, SuSE Linux, Redhat Linux, Sco Unix; 数据库包括各版本的SQL Server, Oracle, Sybase ASE, Sybase IQ, DB2, Informix, MySQL;以及各种网络设备/安全设备,包括Cisco, Juniper。通过二次开发能与常见工具及其他系统和设备进行集成,起到密码修改、验证、更正的目的。CPM还可以自动发现被管理服务器上的账号列表,以发现“违规”创建/修改权限的账号,避免幽灵账号的产生。

·        Windows GUI 客户端此客户端允许管理员访问/配置EPV系统,包括设置用户信息,定义系统访问等等。

·        Password Vault Web Access PVWA – 这个基于Web的界面允许IT人员能够快速地获取目标系统的特权账号密码。 

特权会话管理器

CyberArk Privilege Session Manager (简称PSM)具备审计的模式,改善企业的安全处境伴随着一系列丰富的产品特点,例如:

【安全和审计】

l  加强企业的政策和工作流程,例如双重控制发起会话,提交一个合理的工单系统,控制会话持续时间等。

l  基于HTTPS的安全访问允许本地和远程访问企业的被管设备

l  根据企业策略和最终用户角色开启会话记录

l  单点登录发起特权会话无需暴露特权账号密码,例如第三方的供应商

【特权会话记录】

PSM实现的硬盘录像机回放式的记录特权会话,应对事件的分析和司法审查:

l  SSH会话击键日志以及Oracle/MSSQL会话命令审计

l  用“时间点”的方式来搜索特权事件来观看其中一段会话记录

l  单台服务器支持超过100个并发会话记录存储为高度压缩格式

l  高度可扩展性和负载平衡/高可用性

l  隐私规则的支持,允许当会话开始录制时在屏幕上通知用户

【企业级架构】

l  中央管理和存储分布式体系结构对于多网络和多站点环境是理想的,并受益于单一管理,审计和监控界面

l  能够与企业基础设施进行集成,包括目录服务,用户管理,验证(双因素、RSARadius, PKI, LDAP等)SIEMSNMP, SyslogSMTP

【广泛工具支持性】包括:

无需客户端安装软件,即可支持使用多种远程客户端登录工具进行单点登录, 字符类客户端登录工具包括SecureCRT、Netterm, 图形类客户端登录工具包括Xmanager、SQLPlus、PL/SQL Developer、Sybase Central、isql、MSSQL Studio Management、VMWare vClient,PCOM,WC3270Client等等。几乎任意客户端连接工具均可以集成。

image.png

应用程序内嵌账号管理

 AIM介绍

CyberArk提供了业界唯一的应用程序账号管理解决方案(Application Identity Management),全面解决了保护和管理应用程序账号的难题。该方案解决了在应用程序代码,配置文件,脚本中的密码存储、审计、管理的挑战,使得所有的高度敏感密码,集中和安全地存放在CyberArk的Vault(密码保险库)中。利用这种独特的方法,企业能够符合内审和外审的合规性要求,做到密码定期更换,并且可以监控对所有系统、数据库、应用程序的特权访问。

 

【架构描述】

CyberArk 企业级密码保险库由如下几个主要组件组成:

1.    Vault:是整个方案的核心,是一个高度安全的存储,用于存放应用程序的密码集中存储。Vault提供了超过10级的安全防护,包括:防火墙,加密,VPN,访问控制,多种用户验证等,同样对所有的访问记录都有审计日志。

2.    集中的策略管理器(Central Policy Manager,CPM)主要负责自动修改密码,主要是在Vault中和被管理的目标服务器上进行同步,比如数据库等。

3.    Application Password Provider是一个安装在任何运行应用程序服务器上的组件,负责管理和保护密码,并作为一个安全的本地缓存,并且验证需要访问密码的应用程序。本地的缓存保证了100%高可用性及时网络连接出现故障,并且为本地应用程序提供高速访问,这些也都无需考虑网络的性能。

4.    Application Password SDK通过简单的函数调用就能使得应用程序获得访问其他网络资源,比如数据库。这一点从根本上消除了硬编码密码的必要性,并且允许应用以最直接的方式访问到最新的密码,当密码修改时,再也不需要修改源代码或者配置文件。

image.png

 

解决应用程序账号问题:在AIM方案中有两种解决应用程序账号的问题:修改源代码,或者不修改源代码。在拉的方式中,应用程序主动从Vault中获取最新的密码并使用的。这就消除了硬编码密码的需要了,并且完全解决AIM的问题。CyberArk可靠的架构保证了100%高可用性以及高性能,全依赖于Application Password Provider的缓存机制。获得专利的Vault技术也给予密码很高的安全性和保密性。

权限颗粒度管理

On-Demand Privilege Manager (OPM)是业界第一款集中的,策略驱动的控制操作系统特权命令的企业级解决方案。在满足方便用户使用的同时,加强特权管理,真正做到权限最小原则的整体安全设计思路。

OPM for UNIX/Linux

UNIX/Linux基于个人的特权命令作精细化访问控制,替代了SUDO的方案,使得类似的控制具有企业级,集中化,简单管理,强化审计能力的特点。工作方式如下:

image.png 

1.      特权账号管理员在PVWA中定义IT人员相应的On Demand的策略(命令行的黑白名单)

2.      IT管理员通过传统的方式登录UNIX/Linux服务器

3.      OPM Provider读取相对应的策略,并缓存在本地

4.      IT人员需要执行某些特权命令时,进行On Demand部分提权完成任务,同时OPM Provider会将此提权命令进行记录

5.      审计人员可以通过文本对IT管理员的On Demand命令进行审计。

 l  命令行授权:对某个管理员实现细粒度的命令行授权

image.png

l  授权命令的审计:对某个管理员执行的特权命令进行记录

image.png 

相比SUDO配置,OPM for UNIX/Linux有如下技术和管理优势

项目

OPM

Sudo/Windows组策略

集中化的策略管理

þ

ý

执行命令的审计记录

þ

ý

安全的shell外壳

þ

ý

安全驱动的架构

þ

ý

企业级解决方案

þ

ý

  

OPM for Windows

OPM for Windows (又称为Endpoint Privileged Management, EPM)使IT管理员能够依据最终用户的角色和职责来提升或减少终端用户权限、提供颗粒度的控制,从而秉承最低权限管理的安全原则。无论最终用户处于任何网络区域,IT管理员能够为其远程管理及提供特权管理支持。

 image.png     

 EPM的主要特性如下:

Ø  自动发现用户执行应用的事件;

Ø  提升或减少应用特权;

Ø  支持策略自动化或实时提权;

Ø  对用户执行应用的操作进行录像

Ø  详细的报表及审计能力

Ø  可设置授信软件白名单以及不允许执行的指定软件;

 1.      通过Agent发现Windows机器中所安装的软件

image.png

上图列出了企业环境中windows机器中的软件应用程序。

 2.      在监控模式下查看一般用户是否有需要以提权模式执行命令或者应用程序

image.png

上图为以管理员权限执行SecureCRT。因此会产生事件到ViewFinity。企业可以根据事件累计的数量来判断是否需要直接给予该软件以Run As administrator 的权限。

 3.      通过策略配置,对软件运行时的权限进行控制(提权以管理员执行,或者阻断运行某些可疑程序)

image.png

针对禁止的应用,当下一次用户执行时,即使登陆用户为administrator,也会被阻断执行恶意程序。