近日,数据中心特权访问管理PAM领域的新锐厂商秩简科技正式产品发布,打造国产化、云原生的特权访问管理平台。秩简科技以自主可控的专利技术,提供数据中心内部的特权身份管理、应用身份管理、会话操作审计等整体解决方案。助力客户高效、安全地完成从特权身份地发现、保护、控制、分发、回收、到回溯审计的闭环管理。
特权访问管理PAM的发展
特权访问管理(Privileged Access Management)的概念,最近开始受到很多企业的关注,Gartner在2018-2019连续2年将其评为CSO最应关注的TOP 10安全项目之首。
PAM概念的发展也经历了不同的阶段。早期特权管理的表述为Privileged Identity Management 和 Privileged Account Management。随着各厂商产品日渐丰富,最终大家共识将这条跑道定义为 Privileged Access Management。Privileged Access Management可以看成 Privileged Account Management更宽泛的一个概念。包含了发现、保护、控制、分发、回收、溯源、审计,终端权限管理、威胁分析等各个安全访问场景。
国际上,早在2002年开始就有公司为金融机构研发特权账号管理类产品。由于国外用户一直对账号密码的保密性、随机性和安全的分发比较重视,因此国际厂商的方案也普遍关注账号密码的修改、回收、一次性密码的实现。
国内最初则是从操作审计(堡垒机)的角度,从2006年开始发展,不同厂商对此理解都有不同,比如在名称上有操作风险管理系统、运维安全审计系统等等。但是无一例外都聚焦在对IT管理员在生产系统中的操作审计上。如何兼容更多的协议、方便操作,成为国内关注的焦点。
从下图可见,国内外是两条不同的发展路径。
2014年之后,在企业客户的管理需求压力逼迫下,国内外厂商殊途同归,都开始往特权访问管理的角度演化。产品的核心功能还是解决密码管理、操作审计、访问控制。
当前国内的用户习惯依然有待培养。中小客户还是对账号密码管理存在恐惧感和不信任感,因此密码管理一直没有得到很好的推广应用。但一些头部成熟客户早已开始将PAM类产品在企业内部做了非常深入的集成,包括CMDB、ITSM、OA、运维自动化、漏扫管理平台、DevOps等各个框架。
PAM的国产化机遇
随着网络安全法和数据安全法的颁布,数据安全与隐私保护问题越来越引起国家、社会以及企业的重视。特权账号的密码凭证是企业最核心的资产,是通往数据中心的关键钥匙,其数据安全和保密性是国内客户关心的要点,也对PAM方案厂商提出了更高的要求。在当前国产化的趋势下,无论是从科技供应链的稳定性,还是解决方案与业务场景的贴合性方面,国内创新技术厂商都开始受到更多客户的青睐,也成为国产厂商不断进步的动力。
秩简科技的技术创新和客户应用
秩简科技的PAM特权访问管理方案目前已经在金融、制造业、高科技等众多行业中落地应用。秩简科技基于云原生的理念,使用容器化的技术、高扩展性的架构,使得客户很容易在多数据中心、多隔离网络、多云平台中快速部署特权访问管理系统;同时,针对集团客户可以快速实现内部PAMaaS(PAM as a Service)的集团私有化云应用,降低分支机构的管理成本。
PAM的国际技术发展趋势展望
近年来随着云的发展成熟,国际厂商也在不断增加PAM管理的边界,在面对多云、Kubernetes、应用控制、终端的权限管理、用户行为分析上做到了更精细化。国际上也有IAM和PAM厂商通过并购来给客户提供整体的账号管理解决方案,比如CyberArk于2020年收购了Idaptive,传统PAM厂商Thycotic和Centrify也强强联合,合并成为新的巨头Delinea。
另一方面,基础设施的管理风格也决定了账号的使用场景。现在大部分PAM产品的管理模式都是在可变基础设施(Mutable Infrastructure)上展开的。如果未来数据中心进入了不可变基础设施时,整体的账号使用风格就会变化。
已经更多的新兴PAM厂商瞄准了DevOps领域中的特权访问管理,深度瞄准不可变基础设置中的访问控制。比如HashiCorp, Akeyless等,都对K8S,多云,无服务器设施作了访问控制。另外他们也提供了Secret Management和软件KMS 服务。甚至像AKeyless还利用了零知识(Zero Knowledge)的加密方式保护客户在云环境中的数据安全。
但是有些子领域并不适合国内,比如KMS在国内就是加密机,在国内有强制认证要求,以硬件交付为主。而且国内对PAM需求较强烈的客户中,除了头部金融企业之外,大部分金融行业还主要是可变的基础设施,因此国内的PAM领域还是在朝着更大的管理边界去演化,包括应用控制、终端权限管理、用户行为分析。
PAM在零信任安全体系建设中的作用
PAM将会成为数据中心运维域中的零信任模型的重要环节,通过动态的生命周期管理,实现DevOps人员的最小权限原则。
在远程访问的体系中,PAM 通过其 HTML5的网关改变着用户的网络架构,远程用户不再需要VPN(VPN-less)就可以实现从外网到内网的访问。SIEM利用PAM产生的日志动态计算出其风险值,通过SOAR的系统反向对PAM的策略以及客户端的网络连接策略进行动态进行调整。
这样的动态策略模型不仅用于远程接入访问时,还会对所有DevOps的工具自动化访问目标资源时进行访问控制,应用在SSH会话之中。
秩简科技CEO王升平
随着国内网络安全市场的蓬勃发展,对技术产品的要求必然走向细分和专业化的方向。目前PAM开始逐步被金融、大型企业等成熟客户所接受,PAM产品形态更大的覆盖面也将帮助企业完善整个数字化过程中的各类场景。未来更多科技型企业也必将完整的PAM特权访问管理以较高优先级来纳入安全体系。
文章来源:秩简科技