【51CTO.com原创稿件】4月11日,在2019年汉领信息全国渠道合作伙伴大会上,汉领信息总经理陈云宣布帕拉迪下一代堡垒机(PAM)正式发布,以满足自动化运维时代,企业数据中心对账号管理和通道控制的需求,为企业安全智能运维赋能。
不熟悉汉领信息和帕拉迪的人也许会问:为什么汉领信息的大会,发布的是帕拉迪的产品?答案就是,汉领信息和帕拉迪本是同源。2005年,陈云成立杭州帕拉迪网络科技有限公司,并在当年发布了堡垒机。2015年,陈云意识到用户真正需要的是IAM(Identity and Access Management 即身份认证与访问安全管理),于是又创立了专注于数据库应用安全领域的杭州汉领信息科技有限公司。
陈云认为,网络安全有三个“癌症”:安全漏洞、人性的弱点和数据库安全问题。对抗网络安全“癌症”需要以用户的问题为导向,从三个方向出发:防护效果、解决安全风险带来的时延问题、保证用户业务系统的稳定。“安全并不仅仅是技术原因,更多的是来源于历史原因和管理原因,要把这些原因统一考虑,必须把安全和管理融为一体来做。”
也正是出于这样的考虑,汉领信息重在安全管理,持续专注于数据库安全、体系安全、日志大数据分析三大方向。而作为安全管理的一个重要角色,IAM的一个重要子模块,堡垒机将仍旧由帕拉迪继续深耕。“今年下半年,帕拉迪将正式成为汉领信息的全资子公司。”陈云在演讲中还宣布。
那么,什么是下一代堡垒机?下一代堡垒机具有哪些能力?帕拉迪下一代堡垒机PAM又添加了哪些新的元素呢?
新时代需要新的堡垒机
随着IT技术的不断发展,数据中心一直在不断演进。在主机层面,从传统物理服务器到虚拟机,到到微服务架构;在网络层面,从传统网络到现在的SDNS;在存储层面,从仓储到数据湖;在数据中心的运维层面,从人工运维到现在IT运维自动化,开发自动化,DevOps和AIOps等等概念的出现,使得现有的传统堡垒机无法适应这些IT基础架构的变化,无法满足用户的安全需求,新时代需要新的堡垒机。
对此,汉领信息技术总监王枫也表示,堡垒街亟需变革升级。历经多年发展,虽然堡垒机已形成了较为完善的账号管理、权限管理和审计体系,但是依旧存在诸多缺陷:
一是,单台设备无法支持多用户大并发问题,无法支持集群扩展。
二是,管理不方便,授权需要添加策略,无法可视化授权,即点击及实现授权,人资产分别以树状呈现。
三是,访问终端局限,移动物联网时代,无法支持手机运维及对数据中心资产及权限的实时掌控。
四是,无法自动收集账号,当目标资产账号变动时,堡垒机无法知晓和响应。
五是,无法支持自动化平台的特权账号使用,自动化平台的运维行为成了法外之地。
六是,无法与ITSM、CMDB、DevOps、网管平台等系统联动配合流程化运维。
下一代堡垒机是什么样的呢?
该如何解决以上难题,满足未来数据中心的安全管理需求呢?下一代堡垒机应运而生。
“所谓的下一代,更形象来讲是新一代,新一代堡垒机针对新一代数据中心的新需求,满足现有IT基础架构。”汉领信息技术总监王枫认为,下一代堡垒机强调特权账号管理中心,并且需要具备以下六大属性,才能称为下一代堡垒机。
属性一:提供可编程环境通道。可进行自动化程序穿透,通过API接口,让运维自动化不再是法外之地,整个自动化过程可管理可审计。
属性二:支持高可靠的集群和分布式部署。数据中心体量越来越大,相应的堡垒机也需要与之相适应,需要支持任意环境下的集群和分布式部署。
属性三:支持移动管理和运维BYOD。移动互联时代,移动管理和运维逐渐成为刚需,下一代堡垒机PAM可通过专用App从管理者和运维者角度进行多方位管理和操作。
属性四:数据安全控制。数据安全是企业关注的核心,要在运维过程中解决数据的未授权拷贝及外泄问题。
属性五:账号安全管理。对服务器和网络中的各种账号都能一键收集,并对其状态一目了然,并做到最全单点登录。
属性六:高体验,高便捷。对账号权限可自定义管理,支持多浏览器,为客户提供可视化权限矩阵展示,提供一站式安全设置等。
王枫表示:“堡垒机的重要程度高于网络防火墙。它管理所有权限,是高频的安全设备,使用便捷且支持各种应用环境,并且其自身安全性也极为重要。好的下一代堡垒机要成熟稳定、安全可靠、技术先进。”
为企业安全智能运维赋能,帕拉迪下一代堡垒机PAM发布
那么,帕拉迪的下一代堡垒机PAM囊括了哪些功能?又添加了哪些新的元素呢?
王枫告诉记者,帕拉迪下一代堡垒机PAM不仅具有传统堡垒机的全部功能,比如:单点登录、多因素身份鉴别技术、OCR标题识别技术、数据同步技术以及RemoteApp无缝应用等。“还将为数据中心基础设施提供统一的、独立的帐号管理及通道控制服务,数据中心基础设施可编程,至此,SDN、SDS、ITSM、CMDB、自动化运维、各网管软件等,将可通过下一代堡垒机对数据中心基础设施进行编程,实现控制闭环及AI处理。”
王枫以金融行业应用为例解释说,随着电子银行业务的蓬勃发展,现在很多的银行IT架构投入的人力物力在增加,引入各种自动化技术,通过自动化提高工作效率。而与此同时,安全风险也悄然而至,自动化变成了安全漏洞点。自动化平台为了提供便捷交付业务而生,却没有更多的防护措施,因此变成了不透明的黑盒子,比如脚本是否被恶意利用,自动化平台外不得而知。一旦出现问题,管理员很难把自动化平台权限快速收回终止业务。而通过下一代堡垒机,管理员可以一键收回权限,切断不安全的通信,然后进行适当的人工干预。
除此以外,在本次大会上,王枫还对数据中心数据安全纵深防方案、数据库全生命周期安全解决方案,进行了详细的解读,分析了马上要发布实施的等级保护2.0的相关要求,给出了相关解决方案。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
