一、業務需求
在公有云建設早期,賬號安全管理主要是依賴雲自身的管理。等到公有云建設中期的時候,公有云可以通過雲產品基線對賬號系統進行檢查,例如:雲主賬號開啓雙因素認證,密碼策略輪換,監控AK泄露等安全相關的基線來完成監督。主機層面會使用主機安全基線做賬號以及密碼相關的檢查。但是,我們會發現雲端管理好用戶特權賬號,只是賬號安全管理生命中的一小部分,很多特權賬號散落在用戶登錄雲管端的筆記本電腦中,很多開發期間的應用程序連接賬號密碼都硬編碼到了配置文件等地方…,特權賬號使用靜態密碼,對賬號缺乏有效的管理、監控、企業很容易遭受***,同時很多合規檢查也要求對企業特權賬號要監督。
無法可視化管理,很難知道有多少賬號資產以及誰在使用。
很難保障特權密碼的安全性。
無法看到誰在用那個賬號做什麼,沒法控制特權賬號的權限。
二、雲原始賬號管理解決方案
首先要自動掃描、定位所有賬號,對賬號管理有一個全面的瞭解。使用密碼保管庫統一管理賬號,同時通過代理登陸的方式對賬號操作進行記錄,最終分析出賬號異常使用情況。
我們先假定一個用戶場景,大約有200臺雲主機、100臺docker,管理這些特權帳戶的安全是一項複雜的工作,跟蹤所有的變更,確保每臺服務器ssh key 部署是經過審批的,並記錄下來以便進行長期分析和審計。
1. 賬號掃描引擎
需要在雲主機本地部署主機安全Agent全盤收集用戶賬號信息,以及散落在角落中的ssh key等信息,(依賴關係,創建日期)。
掃描應用系統,查看是否存在應用程序腳本、配置文件和軟件代碼中的硬編碼憑證。
通過客戶端登陸程序掃描登陸雲主機的終端是否存在業務系統的key或者賬號密碼。
2. 企業級密碼保管庫
(1) 通過web控制檯,管理員可以通過REST API 設置建立初始化賬號策略(例如:設置策略以建立憑證強度以及輪換頻率、共享賬號策略)。
(2) 通過賬號代理程序,細粒度的控制特權訪問,存儲訪問記錄。 大連那家醫院看婦科好 mobile.bohaink.com
(3) 提供賬號使用合規報告。
賬號最小權限分析報告。
賬號使用範圍可視化報告。
賬號審計報告。
3. 賬號威脅分析
分析引擎對用戶、實體和網絡流量運行多種複雜的專用算法(包括確定性算法和基於行爲的算法),針對***者會假冒成授權內部用戶,實時發現***並自動做出響應,以便在整個***生命週期的早期發現***跡象。通過儘早發現***,安全團隊就有了更多寶貴時間來在造成業務中斷之前終止***。
與SIEM解決方案的雙向集成**使安全團隊可以利用現有的SIEM部署來彙總數據,進行有針對性的分析,併發出預警來爲涉及特權賬戶的事件分配優先級。
三、系統架構
簡述:
本解決方案支持公有云雲主機、雲物理機、IDC託管物理服務器,應對用戶多雲部署的情況。
針對企業級祕鑰管理庫,我們爲每個租戶開啓一臺虛擬的雲加密託管服務,確保公有云運營方對用戶的憑證濫用的情況。
(1) 祕鑰安全性保障
虛擬雲加密機初始化是由公有云給租戶郵寄USB key
用戶在自己的VPC環境中架設×××Server,通過×××連接租戶VPC環境中。
在公有云平臺上開通虛擬雲加密機服務,雲加密物理機通過公有云網絡中peer方式映射到租戶VPC環境中,使用USBkey進行初始化。
(2) 祕鑰生命週期管理
登陸祕鑰管理控制檯,用戶申請ssh key,以及要登陸的雲主機或者物理機。經過審批後,主機安全Agent會分發SSH key到雲主機或者物理機上。
使用過程中,安全Agent會掃描、監控、審計整個過程。
當祕鑰需要銷燬的時候,到祕鑰管理控制檯申請,審批後,主機安全Agent會刪除對應主機上的SSH key。
(3) 安全威脅分析
通過主機安全Agent來進行SSH key掃描,可以分析出當前租戶環境中的SSHkey散落情況並且給出合規報告。
通過主機安全Agent記錄登陸情況,賬號審計數據上傳到態勢感知安全運營平臺,通過UEBA模塊做大數據分析。給出響應的安全告警