CyberArk：数据中心|运维账号管理实践！

Edvance 公司介绍

 

•成立于2007年

•推动产品演进

•至今所有客户均自己实施

•专业的客户化定制能力

•专业的技术支持

 

CyberArk中国客户简表（金融行业）

 

 

CyberArk中国客户简表（非金融行业）

 

 

密码管理为什么最重要？

•会话审计：某人-某账号-时间

•严格的密码管理，预防在生产网络中随意跳转

•不严格的密码管理：很难快速从海量审计数据中进行回溯

 

生产网络

 

针对现有环境的疑问？

 

1、只管理了操作系统账号？

2、数据库、中间件、网络设备、安全设备、自有应用的密码如何管理？

3、连接工具只有RDP、SSH？

4、还想要SQL连接工具、浏览器、中间件WinFrom工具怎么办？

5、Windows那么多Administrators组成员，如何缩减？

6、我不想发放root，怎么给予普通账号一点root权限？

7、还有一些集成需求无法实现？

多网段分布式

高并发下性能问题

产品成熟度

稳定性

 

自身安全:  堡垒机

•作为特权账号这种企业核心资产的管理平台，解决方案的自身安全性是需要考虑的关键因素之一。

•过去几年，尤其是2014年，堡垒机的安全漏洞被乌云网等权威漏洞平台频频曝光堡垒机的重大安全漏洞，安全性让很多用户担忧。

 

 

运维账号统一管理的5大范畴

 

特权-威胁分析

•日志收集

•日志分析

•统计值分析

•触发预警

•防绕开报警

 

自动-密码管理

•一次一密

•密码管理的稳定性

•适配数据中心所有设备类型

•丰富的策略配置选项

 

运维-单点登录（会话管理）

•审计命令行、窗口、SQL语句、击键信息

•适配所有常用连接工具

 

权限-颗粒度管理

•UNIX/Linux提权

•Windows提权

•应用控制

•后台行为记录

•防绕开机制

 

应用-内嵌密码管理

•提供丰富的SDK

•DevOps

•对应用程序Hash、IP、路径、执行用户认证

•支持中间件DataSource

 

堡垒机的实现比例

 

 

我们的PAS实现比例

 

 

与传统堡垒机的区别

 

1、缺少专有的密码管理解决方案

IDC报告指出，专有的密码管理解决方案（Password Vault）是成熟的特权访问管理解决方案的必要组件。无论是对于密码管理的稳定性还是安全性而言，堡垒机基于通用数据库的密码管理方案都存在明显的隐患。这也是主流PAM解决方案与堡垒机的本质区别。

 

2、特权管理的覆盖面

堡垒机的管理目标对象通常只支持主机和数据库，目前也有少数堡垒机能支持部分网络设备。对于应用内嵌、虚拟化、专用设备（如工控设备）等特权账号无法管理，而从近年来的信息安全案例分析，这些特权账号存在极大的安全隐患。而以PAM解决方案，可以实现特权账号的全覆盖。

 

3、难以适应定制化应用场景

堡垒机是一种通用型硬件设备，缺少对用户定制化应用场景的灵活支持能力，适用于对于需求简单的中小型用户。而对于复杂IT架构下的行业大用户而言，定制化应用场景非常多，堡垒机的非开放性和简单的策略配置难以满足复杂需求。而对于PAS而言，开放的标准SDK接口和丰富的策略集，不仅可以满足复杂场景需求，对于与外部系统（如工单系统）的接口也可以简单实现。

 

4、不支持集中管理的分布式部署

堡垒机属于单点设备，对于大型的分布式网络和混合IT架构而言，往往需要部署数十台这样的设备，而且这些设备无法统一管理，从而产生高昂的管理成本和极大的安全隐患。软件形式的PAM解决方案则不存在这个问题。

 

5、不支持数据级高可用（HA）和容灾（DR）

特权账号密码是企业的核心资产之一，而作为特权账号密码的管理系统，一旦发生不可逆的系统故障导致密码数据丢失，核心业务系统将无法维护。PAM解决方案把HA和DR作为系统安全性的保障，而堡垒机则缺少支持机制。

 

6、难以适应新技术应用和发展的趋势

堡垒机封闭而固化的技术架构对于飞速发展的IT技术而言显得难以跟上步伐。随着虚拟化技术、混合云架构等新技术的发展和应用，对于安全设备就要求具有云和虚拟环境部署能力、弹性的负载扩展能力、灵活的随业务迁移能力。而以软件形态交付的PAM解决方案，新技术的适应能力上具有天然的优势，并且可以充分利用新技术带来的优势，包括在线迁移、虚拟快照等，与新技术的应用相得益彰。

 

数据中心内账号无处不在

•Windows的Cluster服务、计划任务、中都需要绑定域账号

•网络、安全设备中的root或者enable账号

•内部管理软件比如备份，监控等系统的管理员账号

 

 

账号管理最佳实践 – 要点与难点

 

强化账号一次一密

•使用后N小时过期

•随机密码，无人知晓，防暴力破解

 

高频度账号回顾与梳理

•每天梳理数据中心的账号列表，审查不合规密码

•安全控制团队进入审查常态化，智能化

 

管理范围全面

•管理类账号、应用内嵌类账号

•不同管理接口：zos,ssh,odbc,http,win等

 

账号使用作严格控制

•双因素认证

•双人会同、分段发放、不允许知晓密码

•变更管理

 

账号使用监控

•监控访问会话

•操作录像与命令行回溯

 

账号最小权限原则

•尽量减少使用特权

•特定任务不允许使用特权，或将所需特权剥离出

 

CyberArk PAS 基本工作原理

1、Master/exception policy definition

2、初始化和加载

自动发现，导入，手动导入

3、访问过程

双人会同/控制, 

与工单系统集成, 

一次性密码，排他密码

4、直接特权单点登录

5、审计人员访问

 

 

会话管理

 

 

会话监控与交互：内部员工中断供应商所使用的会话

 

 

快速查找特权会话审计信息，便于团队分析与回顾

 

 

金融行业安全设定最佳实践 – 防止密码暴力破解

•暴力破解root，因此必须限制root直接远程登录。国际银行、国内大型金融机构中必须先用普通用户登录，再su - root切换到root。

•所以要求CyberArk平台能够适应这种场景

 

 

高频度进行账号回顾和梳理

 

高频度的账号检测报表

需求场景：任何使用特权帐号的人可能创建后门账号，或者改变UID/GID，加入管理员组以获得特权账号，

技术风险：最终绕开审计管理系统，使得审计系统形同虚设。

解决方案：通过任意两天帐号信息的数据的比对，及时发现帐号权限的变更情况，以下为太平洋保险的实施案例。

 

需求场景：未纳管账号跟踪

需求场景：审计管理系统建立后，需要确保新增服务器，新增账号都能纳入管理，但是通过流程有时候会滞后，及时发现未纳管账号就成了内控的管理依据

技术风险：如果没有及时纳管，很容易导致不合规，部分账号游离于管理之外。

解决方案：比对“已管理”和“实际拥有”的账号列表，发现“未纳管”。

 

 

虚拟环境中自动发现特权账号

1、连接VMware vCenter

2、CPM 扫描新增或删除的ESX 宿主机

3、ESX 宿主机root 账号存储在Vault中

4、CPM 扫描每台ESX 宿主机中新增或删除的虚拟机.

5、CPM 自动侦测 Windows 本地管理员账号, Unix root 账号, Windows 应用 (服务, 计划任务等), 自动报告本地管理员组成员, 标记未被管理账号

 

 

应急预案（技术+流程）

 

 

【客户案例】 如何在故障时第一时间获取密码

 

 

我们如何保护应用内嵌账号（1）

•CPM for Configuration File / DB Column

•晚间批量，比如核心银行、数据仓库，PCRM/CCRM应用

•自动化应用部署或者升级程序

 

 

如何保护应用内嵌账号（2） - 调用安全的SDK

•支持多方位认证：Hash认证、IP地址、启动用户、执行路径

•Java, .NET, Batch, Shell, C/C++, COM, VB

•Windows, AIX, HPUX, Solaris, Linux, zLinux, AS400

 

应用账号密码管理

 

基于Java应用服务器中的特权账号管理

 

 

如何保护应用内嵌账号（4）

 

权限细颗粒都管理

 

账号权限细颗粒度管理

减少特权账号登录和使用，遵循最小权限原则。

1、企业级账号权限管理解决方案。

2、最小权限分配原则。

3、自动提权，无需手动切换超级用户。

4、特权级操作行为审计。

 

一般如何管理权限？

在目标系统直接修改系统底层用户权限

配置sudo以允许普通用户执行某些特权级操作，减少root用户的登录

直接使用su命令切换root身份，进行特权级操作

直接修改UID和GID，给予其特权用户身份。

 

细颗粒化权限管理（1）- 将指定特权赋予普通账号

 

需求场景：大量脚本使用特权账号进行后台运行。

需求场景：大量脚本使用特权账号进行后台运行。防止使用root的管理员恶意篡改cronTab对应的脚本。

技术风险：一旦脚本被篡改，将直接拥有特权。

解决方案：由于CronTab对应的脚本通常是“固定行为”的，因此可以剥离这部分权限由普通用户执行。比如为了清理/var/log目录下的文件，常利用CronTab启动脚本，运行时以root执行。

 

 

不同职能部门对于回收Admin权限的痛点

 

Scenario:	账号有本地管理员权限	移除管理员权限
Operations Team •        桌面管理 •        ATM管理 •        系统管理员 •        应用管理员 •        IT总监	花费大量时间处理和修复Windows机器上的问题   ATM机器被攻击，造成恶劣影响。	日常维护和运行程序时又必须使用部分的特权，如何平衡“安全”和“功能需求”
信息安全团队 •Security Analyst •Security Architect •Director of IT Security	没有能力去规划、梳理管理员权限，使得在实际应用部署中，大量程序使用管理员权限执行，导致放大的攻击面。 如果移除管理员权限，是否减少了终端的事件处理总量	如果业务需求中需要使用到部分特权，那么如何响应其需求呢？

 

最小权限 + 应用控制 = 降低操作风险

 

最小权限

•一般用户和管理用户都满足“最小权限”原则行事

•风险: 恶意软件仍旧可以执行并入侵系统。比如大量的绿色软件

 

应用控制

•仅允许白名单和受信的应用程序

•风险: 应用程序需要使用到特权才能运行，在实际使用中又无法回收管理员权限。

 

组合拳 – “最小权限”和“应用控制”降低了攻击面，并阻断恶意软件的攻击进程。

 

如何减少Windows上administrators组成员

•问题：通常windows上的应用运维账号都是administrators组成员。如果是普通用户无法满足其日常起停服务等操作。

•解决方案：授予一个appuser（普通用户，非管理员）执行某类特权。

 

 

Windows桌面管理

•通过Agent发现Windows机器中所安装的软件

 

 

禁止非法的软件执行

•针对禁止的应用，当下一次用户执行时，即使登陆用户为administrator，也会被阻断执行恶意程序。

 

 

Windows桌面管理 – 监控和管理软件网络通信

•腾讯QQ辅助进程是否在后台收集个人数据 ？

 

如何检测特权账号的滥用

行为分析:  自学习统计模型，结合CyberArk、SIEM数据、目标服务器上的访问记录.

 

 

Privileged Threat Analytics – 价值

•针对非法访问操作进行探测与报警

降低黑客攻击概率

及时发现异常，作出快速响应

•能够同时防止内部和外部的攻击

•自适应内部正常行为的统计数据

•简单、有效，不依赖于签名等过于复杂的技术来识别攻

正常的访问 vs 所有的审计数据

•更智能的关联分析

 

特权账号管理 – 4个重要范畴

 

 

各种自定义模块

多种集成方式

 

账号管理未来管理路线图

 

初级

搭建特权账号管理平台，将所有特权账号纳入其中，

实现密码自动更改

操作审计

通过对权限的细粒度控制与发放，减少特权账号的直接使用

 

高级

对应用系统内嵌特权账号进行改造管理，实现全行特权账号的全面自动控制

 

持续优化

与更多内部管理系统对接，对IT资产形成