PAM 齐治特权账号管理系统 当前典型的IT环境中通常拥有成千上万个特权账号，覆盖不同主机、数据库、网络设备、安全设备、中间件、硬件控制台等。 但是仅基于现在的技术手段和人力资源限制，客户一直没有能力和手段重视其账号管理，导致大部分客户的账号管理陷入混 乱、无序、无从入手的境地： 数据难收集：账号数量庞大、种类多样，但缺乏数据支撑 风险难识别：弱密码、僵尸账号、幽灵账号、账号提权、长期未改密、密码无效 改密难自动：无人力定期、准确、高效地修改密码，一旦遇到密码被应用引用，进退两难 大部分客户需要建立有效管理机制，长久地满足等保2.0的明确要求： 用户身份鉴别信息丢失或失效时，应采用技术措施确保鉴别信息重置过程的安全 应重命名或删除默认账户，修改默认账户的默认口令 应及时删除或停用多余的、过期的账户行业挑战 齐治特权账号管理系统（Privileged Account Management, PAM），通过对所有账号进行自动采集、风险识别、自动改 密，以指导和帮助安全团队自动化管理账号，特权账号管理平台也将成为企业内账号密码存储的唯一平台，并供各类人员、应 用系统（堡垒机、漏扫、备份、运维自动化、资产管理、业务应用等）安全使用。产品概述 www.shterm.com账号自动采集 齐治PAM通过扫描收集纳管设备上的账号列表，发现新增/删除的账号信息，包括禁用状态、密码失效日期、登陆源IP地址、 最近密码修改日期、权限信息、home、shell等信息。解决方案 广发银行：实现一次一密，“一事一申请“的银行业最佳实践、符合等保2.0要求。 平安银行：通过自动发现，实现2个管理人员对21万个账号的精确管理，快速识别账号风险 中国银行：通过AKM实现应用连接数据库的账号密码动态管理，规避黑客拖库、内部数据泄露， 打通数据中心特权账号管理的最后1公里。案例场景账号自动发现与风险分析 全面收集账号信息 识别账号风险： 弱密码 僵尸账号 幽灵账号 账号提权 长期未改密 支持各类主机、网络设备、数据库、安全设备等技术参数 拥有了齐治PAM的客户，可以轻松： 快速实现数据收集、发现账号风险 消除内部威胁，实现所有账号的自动密码管理，并关联应用程序和与DevOps软件集成 符合等保2.0，以及各行业的监管需求 实现数据中心特权账号的扫描、新建、编辑、授权、访问控制、解锁、销毁的统一管理商业价值异常风险分析 PAM基于收集到的信息，通过计算发现如下风险： 弱密码：默认密码、简单密码、内部人人皆知的密码 僵尸账号：长期未登陆账号 幽灵账号：不确定负责人的账号，不知道谁/应用使用的账号 提权账号：权限发生变更的账号，从低权到高权 长期未改密：不符合法律以及行业监管 失效账号：已纳管密码不正确、无法登陆，导致应急时无法使用的账号 密码自动管理 提供数据中心所有平台的自动改密方案： 稳定高效的自动改密 通过插件化的框架，快速对各类系统进行集成改密 模拟http请求，可以和任何Web页面进行交互 应用内嵌账号管理 为应对应用系统获取密码的场景，应用内嵌账号管理（Application Key Management，AKM）提供： 通过Agentless SDK 结合集中式的应用管理服务器，实现密码的动态获取，解耦了应用和PAM平台的关联性 通过检测程序的Hash值、执行用户、当前路径、IP地址、证书来授权合法代码获取密码，以规避黑客通过接口获取密码的风险 针对各类中间件，Spring，ETL工具等，PAM提供了独有的JDBC Driver封装器，企业不再需要修改代码就可以进行密码动态 化的管理 同时为Ansible，Jenkins提供了插件进行集成，方便DevOps模式的企业快速和已有的环境进行集成 生命周期管理 PAM支持账号集中化管理功能，可详细记录相应账号从创建至删除的一系列变更操作 采用工单流的模式实现对特权账号创建、变更、修改、锁定、删除进行统一维护，统一管控 密码保险库 账号集中化安全存储 支持国密算法、硬件加密卡保护 数据采集-账号发现，提供数据支撑 操作系统 数据库 中间件 网络/安全设备日期 用户名 权限 IP地址 类型 日期 用户名 权限 IP地址 类型账号变化 2019-10-11 2019-10-11 2019-10-1110.10.0.21 10.10.0.21 10.10.0.21Win Win LinuxAdministrator test rootadministrator Users UID=0,GID=0 2019-10-12 2019-10-12 2019-10-12 2019-10-1210.10.0.22 10.10.0.22 10.10.0.22 10.10.0.22Win Win Linux LinuxAdministrator test root vlogadministrator administrator UID=0,GID=0 Group=Oracle2019-10-12 比 2019-10-11 10.10.0.21-win-test用户变成“特权” 2019-10-12 比 2019-10-11 新增了10.10.0.22-Linux-vlog用户特权账号管理平台 支持列表 主机: UNIX/Linux, Windows, Mainframe等 数据库: Oracle, MySQL, Microsoft SQL Server, DB2, redis等 网络设备: Cisco, Huawei, Juniper, H3C等 安全设备: F5, Palo Alto, 深信服 Radware, Cisco ISE等 中间件: WebSphere, WebLogic, Tomcat, JBoss Web: 通过框架技术适配各类web应用的账号管理 通过配置、插件开发完成各类其他设备和API的对接，实现数据中 心账号的统一管理 应用内嵌的账号管理 应用程序能够动态获得账号密码 实现应用内嵌账号的密码动态管理 无Agent的SDK WebSphere，WebLogic Tomcat, JBoss 多种开源框架 ETL工具 支持容器环境下的密码管理 Windows计划任务 Windows服务 配置文件 自定义脚本 Hash认证、执行用户认证 路径认证、IP地址认证DevOps的支持 Ansible Jenkins Docker 部署模式 单机部署 高可用性集群 异地灾备 分布式应对多个区域应用 应急模式 自动备份密码至SFTP，主管邮箱 分段发放 个人密码加密 PGP密钥加密• • •