特权账号
今天的特权账户管理项目,和Gartner 2018十大安全项目一样,排位第一的还是这个项目。该项目旨在更好地防御攻击者非授权访问特权帐户,并能够对非常规访问事件进行监控。
这些特权账号可能是管理账号,个人特权账号或者服务帐号。其中一些是平台内置账号,另一些是为了管理目的被创建出来的帐号。尽管一直在努力减少这一数字,但特权帐号的总数仍随着业务的拓展和新系统的引进而以固定的速度在增长。
另外,对于DBA使用特权数据库账号时,原有SQL语句审批控制平台虽然能防止DBA越权读取或执行不允许的SQL语句。但如密码泄露,意图不轨的内部员工或第三方开发商依然绕过网络限制,直接操作生产数据库。
-
特权账号都有哪些?
-
各类主机操作系统的管理账号,如AIX、WINDOWS、LINUX……
-
各类数据库系统的管理账号,如ORACLE、SQLSERVER、DB2……
-
各类中间件系统管理账号:如WEBSHPERE、WEBLOGIC、TOMCAT……
-
各种网络设备的管理账号,如路由器、交换机、VPN……
-
各种安全系统和设备管理账号:防火墙、入侵检测、防病毒……
-
应用系统内嵌账号:应用系统源码、配置文件、中间件中的数据库访问账号、API接口账号……
-
业务前台管理账号:核心业务系统前台的管理账号、批量数据下载账号、用户管理账号……
-
现有账号管理难点与剖析
-
堡垒机、密码交互系统和SQL语句审批系统3套独立系统来实现特权凭证安全。没有做到一套平台,全部纳管。
-
数据中心特权账号管控没有完全覆盖,大量特权账号游离于管控范围外;
-
特权账号密码缺乏自动更新机制,密码对于用户来说“可见、可知、可用”;
-
应用内嵌账号缺乏有效管控及自动更新技术手段,如中间件连接池、中间件web console、服务、文本、硬编码、云平台、虚拟化等
-
数据中心缺乏特权账号自动发现及托管机制,无法实时掌握特权账号变动;
-
目前拥有3套系统需不同系统管理员维护,维护工作量大;如后续完善安全防护体现,需要不断开发新平台,其开发人力和维护成本可想而知;
-
堡垒机自身安全问题,近年来,安全事件屡见不鲜;自主开发平台自身是否安全,安全问题是否已考虑;
-
堡垒机采用冷备,无法实现数据实时同步,不支持分布式部署;数据库运维脚本操作无法审计;
-
密码交互系统无高可靠机制;网络出现故障,应用系统无法及时获取密码;
-
敏感数据缺乏数据脱敏加密机制,运维人员和开发测试人员直接查看、使用生产环境数据;
-
缺乏特权凭证异常活动监控检测功能;
-
目前运维人员日常工作需要访问3套独立平台,没有统一平台登录页面,增加运维工作量;
