揭櫫特權使用者管理

在企業體中的多數人的工作環境下,系統管理師若想做好特權使用者管理,透過人工與紙張來作業,往往費時又費力,目前產業界已有許多款相關產品可以解決整體或個別的不同應用之需求。
以使用登入帳號與系統存取權限管控而言,在目前的IT環境中,對於大多只針對一般個人使用者,例如執行固定工作事項的企業內部員工,但從整體來看,身分管理機制所要涵蓋的對象,同時包括那些被賦予更高存取權限的特殊使用者,像是IT部門的系統管理者、網管、資料庫管理者、應用程式開發人員,以及IT系統與設備中預設的管理者共用帳號,還有應用程式本身執行時的專用存取帳號等。
如何使用保護端點上的特權以便達到工作上的防護與效率的目標,使用者帳號可依照所配置到的存取權限大小差異,區分為特權使用者和一般使用者,而且多數系統都著重針對後者監控,近年來推出的IT系統已經逐漸納入功能設計之中,但在更早之前開發的各種作業系統與應用系統上,往往對系統管理者的任何作為,幾乎都是絕對的信受奉行,雖然普遍內建各種事件記錄機制,但大多是為了協助診斷系統運作問題而存在,對「監守自盜」的可能性並無太多設防,甚至有時為了效能考量。

特權使用者管理 vs. 身分存取管理

為了因應這樣缺乏監督、控管的狀況,市面上已有不少廠商推出相關的資安產品,而就類型而言,它們可統稱為特權使用者管理或高權限使用者管理的系統(Privileged User Management,PUM),但實際上,各家廠商對此又有不同稱呼,像是特權身分管理(Privileged Identity Management,PIM)、特權帳號管理(Privileged Account Management,PAM)或特權存取管理(Privileged Access Management,PAM)。從最佳實務規定言之,特權帳號應與組織的核心資安政策相互結合。特權帳號本身就是資安問題,需要企業採取單獨控管的方式來防護、監控、偵測及回應所有特權帳號活動。
特權帳號管理不僅包含了技術上的演進,這與企業的風險管理與文化也是密不可分的。
也許你會覺得疑惑,要滿足上述這些管理需求,理論上應該在IT界所熟悉的身分管理(Identity Management,IDM),或所謂的身分存取管理(Identity and Access Management,IAM)系統中提供,像是目錄服務,如Active Directory(AD)、LDAP,或是單一登入整合(Single Sign-on,SSO)。但實際上,這些控管機制雖然可以粗略界定出特權使用者的身分,是異於一般使用者,但多半無法明確要求權責畫分、進一步約束特權濫用。
特權帳號代表著組織特殊權限,如果被不當利用將面臨最大資安漏洞。幾乎所有外界攻擊都會利用這些最高權限的帳號,而取得這些帳號的任何人都能控制組織的資源,以及存取大量的敏感資料。由於特權使用者管理的確有別於身分存取管理,許多廠商旗下都有相關的解決方案。
PAM之所以無法提供更多的PIM/PUM功能,有人認為,身分存取管理所控制的層級主要是個別使用者的身分,特權使用者帳號卻是與各種IT軟硬體資產配置有關,所以前者並不能完全涵蓋後者。
特權使用者管理技術的三大應用類型, 有些公司的產品可對應到大部分特權使用者管理領域的應用,也有大型系統與應用軟體商,已經在這部分應用有所布局。
特權帳號密碼存取管理產品可說是最典型的PIM應用,運作上,都不需要將代理程式部署到被監控的個人電腦與伺服器上,而且絕大多數透過集中式的網站入口來管控使用者帳號登入。
這樣的系統由於牽涉到使用者密碼的管理(甚至派發),因此大部分會使用密碼庫來保管密碼,並加密這個儲存區(多數都用AES 256加密,有的產品還可搭配硬體加密設備),此外,這些產品所採用的密碼庫,大多都已通過FIPS 140-2 Level 2認證(加密模組的業界標準)。而且,它們還會同時提供其他密碼管理機制,像是動態密碼(One-Time Password)、定期自動更改密碼、追蹤密碼是否依政策修改、密碼簽入∕簽出(passwords check-in/check-out)等。在帳號與權限控管上,特權帳號密碼存取管理產品也內建了政策控管、申請存取流程審核。此外,由於IT環境存取需求和使用者職務,都可能有所異動,而未及時套用到身分管理系統上,因此這些產品大多內建了盤點使用者帳號與權限的機制。

CyberARK

CyberArk Privileged Identity Management(PIM) Suite,因為操作使用介面上支援多國語言,同時繁體中文也在支援之列,而且功能相當豐富。 PIM Suite可支援分散式元件建置的架構,並能建置叢集式的運作環境,達到高可靠度的要求,也支援建立異地災難備援的執行環境,使用規模的延展性相當高。
PIM Suite在設定自動變更密碼功能時,所支援的企業IT設備類型相當廣泛,不單是作業系統、目錄服務、資料庫,同時涵蓋到應用程式伺服器、網站應用、網路設備、資安設備,也包括系統遠端監控和通用的資料存取介面,可以說應有盡有。
單就身分存取管理可整合的環境而言,這套系統支援RADIUS帳號認證、PKI架構,同時涵蓋到RSA和Vasco動態密碼,以及Oracle的單一登入整合系統;它的帳號權限盤點功能,也特別支援VMware ESX/ESXi虛擬化環境。
在統計報表功能上,PIM Suite也內建20種主題,並提供約400個欄位可自行定義內容。
對於應用程式碼嵌入存取其他應用系統帳密(應用程式對應用程式,A2A)的狀況,PIM Suite可支援更多Java應用程式伺服器平臺存取的資料來源設定,像是WebSphere、WebLogic、Jboss和Tomcat;若是牽涉到Windows系統登錄檔、資料庫欄位和設定檔的處理,它也可支援。PIM Suite也提供可因應更多系統整合需求的軟體開發套件(SDK),可支援ActiveX、CLI、.NET和RESTful形式的處理。
而CyberArk 特權帳號安全解決方案,為企業內部部署,雲端及ICS環境提供了全方位的控管方式來防護、監控、偵測及回應所有特權帳號的活動。

相 關 產 品