PAS与堡垒机的竞争性对比.ppt

04 总体对比 对比项 HaiYi PAS 堡垒机 单点登录 支持 支持 特权账号扫描与发现 支持 不支持 特权账号密码自动管理 支持 部分支持 特权会话管理 支持 支持 按需定制的特权管理 支持 不支持 应用身份管理 支持 不支持 特权账号安全威胁分析 支持 不支持 分布式部署与集中管理 支持 不支持 防绕行能力 支持 不支持 容灾能力 支持 不支持 特权账号覆盖能力 95%以上 不到50% 接口开放性 标准接口集 二次开发 Thank You! 海颐软件 dongming@ 目录 contents Thank you PAS与堡垒机的竞争性对比 总体对比 01 功能性对比 02 可用性对比 03 安全性对比 04 总体对比 01 01 中国市场主流解决方案 02 实现的机制不同 传统堡垒机： 主硬件形态的网关设备； 密码管理只是设备附属功能之一，核心是操作监控与审计； 通过产品的部署解决部分特权账号的操作监控与审计。 HaiYi PAS： 软件形态的管理系统； 以安全数字保险库为基础的密码管理是系统核心，操作监控是特权账号生命周期管理功能的一部分； 通过系统的部署实施建立完整的特权账号管理机制。 HaiYi-PAS是国际主流的PAM解决方案技术架构，以Vault为核心。 根据国际数据公司（IDC）2014年度的报告《IDC MarketScape: Worldwide Privileged Access Management 2014 Vendor Assessment》，特权访问管理（PAM）已经成为一个成熟的安全细分领域。 与国际主流PAM解决方案的软件化交付形式不同，堡垒机通常以硬件形式进行交付，技术上采用所谓双子星架构来解决字符型（Linux）界面和图形（Windows）界面的兼容性问题，解决大型用户一般采用4A+堡垒机，但覆盖面与问题仍然很多（广东省联通：启明4A+启明堡垒机+图形堡垒机+内嵌账号管理系统）。 作为同一个细分领域的解决方案（Gartner从2014年的报告中才开始出现Privileged Access Management字样），国际与国内主流解决方案基础技术架构迥异。堡垒机硬件化的基础架构带来了部署简单的好处，对于需求简单的中小型用户而言，不失为性价比相对较高的解决方案。但其缺陷也明显，尤其是随着各种新技术和新设备的应用，对于复杂IT架构和高安全风险环境下的高端用户而言，对比PAM解决方案，其缺陷更是被放大，如果堡垒机不修改其架构，PAM一定是未来中国市场特权身份管理的主流解决方案。 03 技术架构不同 04 堡垒机主要缺陷 1、缺少专有的密码管理解决方案 IDC报告指出，专有的密码管理解决方案（Password Vault）是成熟的特权访问管理解决方案的必要组件。无论是对于密码管理的稳定性还是安全性而言，堡垒机基于通用数据库的密码管理方案都存在明显的隐患。这也是主流PAM解决方案与堡垒机的本质区别。 2、特权管理的覆盖面 堡垒机的管理目标对象通常只支持主机和数据库，目前也有少数堡垒机能支持部分网络设备。对于应用内嵌、虚拟化、专用设备（如工控设备）等特权账号无法管理，而从近年来的信息安全案例分析，这些特权账号存在极大的安全隐患。而以PAM解决方案，可以实现特权账号的全覆盖。 3、难以适应定制化应用场景 堡垒机是一种通用型硬件设备，缺少对用户定制化应用场景的灵活支持能力，适用于对于需求简单的中小型用户。而对于复杂IT架构下的行业大用户而言，定制化应用场景非常多，堡垒机的非开放性和简单的策略配置难以满足复杂需求。而对于PAM而言，开放的标准SDK接口和丰富的策略集，不仅可以满足复杂场景需求，对于与外部系统（如工单系统）的接口也可以简单实现。 4、不支持集中管理的分布式部署 堡垒机属于单点设备，对于大型的分布式网络和混合IT架构而言，往往需要部署数十台这样的设备，而且这些设备无法统一管理，从而产生高昂的管理成本和极大的安全隐患。软件形式的PAM解决方案则不存在这个问题。 5、不支持数据级高可用（HA）和容灾（DR） 特权账号密码是企业的核心资产之一，而作为特权账号密码的管理系统，一旦发生不可逆的系统故障导致密码数据丢失，核心业务系统将无法维护。PAM解决方案把HA和DR作为系统安全性的保障，而堡垒机则缺少支持机制。 6、难以适应新技术应用和发展的趋势 堡垒机封闭而固化的技术架构对于飞速发展的IT技术而言显得难以跟上步伐。随着虚拟化技术、混合云架构等新技术的发展和应用，对于安全设备就要求具有云和虚拟环境部署能力、弹性的负载扩展能力、灵活的随业务迁移能力。而以软件形态交付的PAM解决方案，新技术的适应能力上具有天然的优势，并且可以充分利用新技术带来的优势，