HaiYi-PAS特权管理解决方案.ppt

部署端到端的特权账户生命周期管理方案能够降低数据外泄风险、满足合规性要求 自动发现所有的特权账号及其相关联信息 保护特权账户密码 实行特权账号访问控制 在业务系统中移除硬编码及明文密码 监控所有的特权账号密码使用 自动密码及SSH KEY管理 监控特权会话活动 施行最小权限原则 发现可疑的账号活动风险 15 端到端的特权管理方案 16 特权管理最佳实践 2. 安全存储特权密码并且实施有效改密策略； (需要具有专利技术的密码保险库，普通数据库存储密码安全隐患大，例如Oracle) 3. 特权会话审计和管控，特权密码透明登录提高运维效率； （安全性、合规性、高可用和运维效率四者兼得） 4. 持续监控特权账号。 （对特权账号的行为进行分析，实时应对随时可能发生的特权账号非法或恶意操作：如非法创建管理员账号、窃取密码扮演合法身份等） 1. 扫描特权账号； (特权账号可视度，了解风险才能管理风险) 国内金融客户情况 17 国内其他客户情况 12 13 完善的云支持及案例 海颐PAS让业务更精彩！ 1、程序密码不会被定期修改：为了获得更高的安全水平,密码需要定期修改。而应用程序内嵌密码其密码修改过程非常复杂,因为密码会被写入在应用程序的多处。 2、应用运维人员和开发人员都知晓应用密码：由于应用程序密码被嵌入在程序中,并且不会定期修 改,所以通常密码在IT运维人员和开发人员整个企业中是共享的,特别还包括离职员工以及外包人员。 3、业务停机风险：重要的应用程序需要高可用性才能 确保业务的连续性。手动管理应用程序凭 证可能会导致重要业务应用程序定期停 机,而这完全无法接受,因为可能会导致 业务丢失和成本高昂的中断。 4、程序密码强度不够：由于密码是IT运维人员或者开发人员手工创建的,为了能够应对紧急情况,这些 密码尽量定义地简单,便于能够记忆。这将导致企业特权账号密码的策略不合规。 5、程序密码存储在明文中：嵌入的密码在配置文件或者源代码中是明文存储的,有时密码也不符合强 度要求。所以这些密码很容易被访问到源代码和配置文件的人员获得。 6、对应用程序内嵌密码缺乏审计：在紧急情况下,IT运维人员和开发人员都需要使用应用程序密 码,现有的密码方案无法 供相应的使用记录的控制和审计。 7、外部审计与合规：无法保护应用程序账号,审计其使用记录会违法安全标准和法规,并且导致无法通 过内审和外审要求。 * 密码和SSH密钥 专业的数字保险库 锁定所有特权账户 防止恶意软件 监控特权会话 对被盗用的特权账户采取及时措施 例如自动实时更改密码以避免更多损失 特权会话 隔离和控制 持续监控特权行为 并发出报警 全面覆盖任何层面的特权账户 覆盖任何特权账号 10 统一界面、统一流程 11 ‘访问管理’ ‘身份管理’ 使用直观的统一用户界面 、统一流程，强调用户便捷性. 现状 未来 控制不同设备上的账号权限 基于工作流的自动账号控制 导入HR数据自动删除离职员工 密码变更和管理策略 手工账号管理浪费资源 多系统 管理导致复杂化 没有账号使用状态信息 没有密码策略管理 难以管理 用户 用户 用户 管理员 审批系统 用户 账号 请求 管理员 直观 易于使用 的系统 手工账号管理 账号 请求 LINUX / UNIX Windows 数据库 网络设备 应用系统 设备 设备 LINUX / UNIX Windows 数据库 网络设备 应用系统 设备 批准或拒绝 密码安全策略管理 闲置/非法 账号管理 统一账号统略管理 账号集中管理 账号统一 管理 HaiYi PAS 特权账号的管理趋势 12 账号自动收集与同步 HR 同步 账号管理 (创建/变更/删除) 密码管理服务 批量账号管理 账号授权/变更请求 系统账号的收集与疏理 管理员定义强制的密码策略 用户 账号 应用 管理员审批 收集 供给 不同系统的账号 自动/手工 密码变更 管理员定义 账号策略 离职员工 HR 数据同步 Life-cycle 创建账号 收集账号 变更账号 删除账号 13 账号集中管理 密码更新频率管理 密码更新历史管理 更新历史报告 密码自动管理 符合隐私政策规范 提高工作效率 PW策略 管理员 密码安全策略定义 密码变更模型 密码复杂度定义 最大/最小长度 长度 按预定义时间自动变更 自动 手动 随机 手动变更 定义复杂度随机变更 密码自动、手动、随机变更 特殊账号密码 设备 LINUX / UNIX Windows 数据库 网络设备 应用系统 供给使用 按策略变更密码 特殊字符，数字、大小写、允许的字符 字符 HaiYi PAS 14 密码安全策略管理 各种各样的数据库管理 组权限绑定 用户组策略定义 自动权限绑定 用户账号管理界面 用户组策略 标准化策略 管理员 用户 第三方