安全牛|下一代堡垒机数据中心的特权身份银行-杭州汉领信息科技有限公司

安全牛|下一代堡垒机数据中心的�� Ƴ�� Ƴ�� Ƴ�� Ƴ��特权身份银行

发布时间： 2019.�� Ƴ�� Ƴ�� Ƴ�� Ƴ��04.25 | 来源： �� Ƴ�� Ƴ�� Ƴ�� Ƴ�� 安全牛 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��

4月11日，汉领信息全国渠道合作伙伴大�� Ƴ�� Ƴ�� Ƴ�� Ƴ��会在杭州举行。

从2005年，发明并专注堡垒机的帕拉迪�� Ƴ�� Ƴ�� Ƴ�� Ƴ��，到2018聚焦IAM（身份访问管理）的汉�� Ƴ�� Ƴ�� Ƴ�� Ƴ��领信息，“不跟风、不浮躁、�� Ƴ�� Ƴ�� Ƴ�� Ƴ��不盲从” 的产品基因�� Ƴ�� Ƴ�� Ƴ�� Ƴ��仍是这家14年安全企业的重要内涵。

安全问题，不只是技术，更多的是历史原因，�� Ƴ�� Ƴ�� Ƴ�� Ƴ��人性的弱点，还有成本。要把安全与管理，融到�� Ƴ�� Ƴ�� Ƴ�� Ƴ��一起做。

——汉领信息总经理陈云

对上面这段话，陈云的解读是，人性的�� Ƴ�� Ƴ�� Ƴ�� Ƴ��弱点指的是弱口令，讲的是对账号、权限的管控；出于�� Ƴ�� Ƴ�� Ƴ�� Ƴ��成本考虑，至少要对企业的心脏——数据库，做针对性防护；针对企业数据中心，要在�� Ƴ�� Ƴ�� Ƴ�� Ƴ��保障运维低成本、灵活、稳�� Ƴ�� Ƴ�� Ƴ�� Ƴ��定的前提下保证安全，同时大量的日志数�� Ƴ�� Ƴ�� Ƴ�� Ƴ��据，可以用来做分析，辅助运维和�� Ƴ�� Ƴ�� Ƴ�� Ƴ��安全工作的管理和自动化。这是陈�� Ƴ�� Ƴ�� Ƴ�� Ƴ��云想的四个方向。这四个方向，从品牌角度�� Ƴ�� Ƴ�� Ƴ�� Ƴ��来看，只有堡垒机还留在帕拉迪�� Ƴ�� Ƴ�� Ƴ�� Ƴ��，剩下的IAM、数据库安全、日志分析�� Ƴ�� Ƴ�� Ƴ�� Ƴ��都在汉领。

“今年下半年，帕拉迪将正式成为汉领的全资子公�� Ƴ�� Ƴ�� Ƴ�� Ƴ��司。”

不难看出，主打IAM的汉领将成为陈云之后的重要战略方向�� Ƴ�� Ƴ�� Ƴ�� Ƴ��，是未来。

但有意思的是，对于汉领而言，堡垒机目前还�� Ƴ�� Ƴ�� Ƴ�� Ƴ��不是过去。汉领认为，堡垒机将会发�� Ƴ�� Ƴ�� Ƴ�� Ƴ��展为独立与数据中心、以账号�� Ƴ�� Ƴ�� Ƴ�� Ƴ��为中心的统一安全管理平台。更重要的是，堡垒机还要�� Ƴ�� Ƴ�� Ƴ�� Ƴ��能与自动化运维平台、自动化设备打通，成为一切对�� Ƴ�� Ƴ�� Ƴ�� Ƴ��数据中心资产访问行为的必�� Ƴ�� Ƴ�� Ƴ�� Ƴ��经通道。

基于此，在此次大会上，除�� Ƴ�� Ƴ�� Ƴ�� Ƴ��了沟通其渠道和销售战略外，�� Ƴ�� Ƴ�� Ƴ�� Ƴ��汉领还发布了一个重要的产品-下一代堡垒机（PAM），以满足自动化运维时�� Ƴ�� Ƴ�� Ƴ�� Ƴ��代，企业数据中心对账号管理和通道控制的需�� Ƴ�� Ƴ�� Ƴ�� Ƴ��求。

构建数据中心的特权账号“银行”

汉领信息技术总监王枫表示，�� Ƴ�� Ƴ�� Ƴ�� Ƴ��传统堡垒机面临的问题，以及堡垒机在数据中�� Ƴ�� Ƴ�� Ƴ�� Ƴ��心定位的改变，是此次发布下�� Ƴ�� Ƴ�� Ƴ�� Ƴ��一代堡垒机的重要原因。

总的来看，传统堡垒机面临以下困境：

o 无法支持大并发和集群扩展；�� Ƴ�� Ƴ�� Ƴ�� Ƴ��

o无法支持自动化平台特权账号的使用，无法配合�� Ƴ�� Ƴ�� Ƴ�� Ƴ��ITSM（IT服务管理）、CMDB（配置�� Ƴ�� Ƴ�� Ƴ�� Ƴ��管理数据库）等系统的流程�� Ƴ�� Ƴ�� Ƴ�� Ƴ��化运维；

o 无法支持移动端的运维和权�� Ƴ�� Ƴ�� Ƴ�� Ƴ��限控制；

o无法支持可视化授权；

o 无法自动收集账户信息。

汉领信息认为，下一代堡垒机，即特权账户管理�� Ƴ�� Ƴ�� Ƴ�� Ƴ��中心，要成为数据中心的 “特权身份银行”，就必�� Ƴ�� Ƴ�� Ƴ�� Ƴ��须实现通过可编程的API对�� Ƴ�� Ƴ�� Ƴ�� Ƴ��接自动化运维平台，保证其对资产�� Ƴ�� Ƴ�� Ƴ�� Ƴ��访问权限的调用；同时，针对特权账号安全，可�� Ƴ�� Ƴ�� Ƴ�� Ƴ��以进行主动安全评估，以及便捷的管理；再结�� Ƴ�� Ƴ�� Ƴ�� Ƴ��合数据上传/下载通道的管控，实现安全�� Ƴ�� Ƴ�� Ƴ�� Ƴ��闭环。

作为传统堡垒机的开创者，从技术层面，王枫认为，�� Ƴ�� Ƴ�� Ƴ�� Ƴ��汉领的重要优势或门槛有两点，一是堡�� Ƴ�� Ƴ�� Ƴ�� Ƴ��垒机产品本身的成熟稳定，这点在对超大集�� Ƴ�� Ƴ�� Ƴ�� Ƴ��群部署的能力中就有体现。

“我们银行的客户很多，他们非常看重堡垒机的可靠�� Ƴ�� Ƴ�� Ƴ�� Ƴ��性。”

第二点，就是堡垒机本身的安全。

据王枫介绍，汉领信息的堡垒机�� Ƴ�� Ƴ�� Ƴ�� Ƴ��是多家ICT大厂OEM的首选，�� Ƴ�� Ƴ�� Ƴ�� Ƴ��特别是出口海外市场。不仅是因为其性能和能力，在安�� Ƴ�� Ƴ�� Ƴ�� Ƴ��全层面，汉领也下足了功夫。

“国外市场对堡垒机本身的安全性尤其重视，当初，在�� Ƴ�� Ƴ�� Ƴ�� Ƴ��产品的安全加固就用了我们�� Ƴ�� Ƴ�� Ƴ�� Ƴ��一年半的研发精力。我们支持8-10种身份认证模式。同时，我们将堡垒机�� Ƴ�� Ƴ�� Ƴ�� Ƴ��看作一个后端应用，所以有一整套的安全�� Ƴ�� Ƴ�� Ƴ�� Ƴ��加强方案，包括针对堡垒机的WAF，可以实现�� Ƴ�� Ƴ�� Ƴ�� Ƴ��参数和url的白名单，以及针�� Ƴ�� Ƴ�� Ƴ�� Ƴ��对堡垒机数据库的安全监测系统。”

无论是成熟稳定，还是安全性，这些都是开源堡�� Ƴ�� Ƴ�� Ƴ�� Ƴ��垒难以短时间实现的。

“堡垒机不会做运维自动化，那不是我们熟�� Ƴ�� Ƴ�� Ƴ�� Ƴ��悉的领域。但是对于现在大热的自动化运维平台，�� Ƴ�� Ƴ�� Ƴ�� Ƴ��客户高层也是持不信任态度的，所以从客户层面就会�� Ƴ�� Ƴ�� Ƴ�� Ƴ��乐于推动这些平台和堡垒机的�� Ƴ�� Ƴ�� Ƴ�� Ƴ��对接。统一的账户安全体系，特别是已经在用堡垒机�� Ƴ�� Ƴ�� Ƴ�� Ƴ��的客户，这是一层重要安全�� Ƴ�� Ƴ�� Ƴ�� Ƴ��保障。”

此外，对于堡垒机和IAM的关系，王枫认为，堡垒机受运维�� Ƴ�� Ƴ�� Ƴ�� Ƴ��协议的带宽限制，更关注运维人员的访问，而IAM�� Ƴ�� Ƴ�� Ƴ�� Ƴ��是囊括所有业务线的身份体系，可以说�� Ƴ�� Ƴ�� Ƴ�� Ƴ��堡垒机是IAM的一个子模块。但堡垒机对身份、�� Ƴ�� Ƴ�� Ƴ�� Ƴ��权限的管控，以及访问行为的审计和监�� Ƴ�� Ƴ�� Ƴ�� Ƴ��测（也正是4A的内容），追溯到自�� Ƴ�� Ƴ�� Ƴ�� Ƴ��然人的能力，可以扩展的更大�� Ƴ�� Ƴ�� Ƴ�� Ƴ��。这个需求也是确实存在的。�� Ƴ�� Ƴ�� Ƴ�� Ƴ��

“目前，我们IAM方案的客户政府机构居多。比如社保局、区�� Ƴ�� Ƴ�� Ƴ�� Ƴ��政府等。虽然他们的身份建设滞后�� Ƴ�� Ƴ�� Ƴ�� Ƴ��，有大量的老旧系统，但我们的�� Ƴ�� Ƴ�� Ƴ�� Ƴ��IAM方案是外挂式，不需要和这些系统�� Ƴ�� Ƴ�� Ƴ�� Ƴ��开发对接，同时自身又有安全属性，还�� Ƴ�� Ƴ�� Ƴ�� Ƴ��有很多场景功能开关可供选择，所以非常适合他们。”�� Ƴ�� Ƴ�� Ƴ�� Ƴ��

安全牛评：

堡垒机已经是非常成�� Ƴ�� Ƴ�� Ƴ�� Ƴ��熟的产品，但是目前的痛点和客户的需求方向�� Ƴ�� Ƴ�� Ƴ�� Ƴ��也很清晰。作为国内堡垒机品牌领头�� Ƴ�� Ƴ�� Ƴ�� Ƴ��羊，更契合客户对自动化和移动化运维的需求场景及趋�� Ƴ�� Ƴ�� Ƴ�� Ƴ��势，更好的完成从堡垒机到IAM的过�� Ƴ�� Ƴ�� Ƴ�� Ƴ��渡使命，是汉领此次发布“下一代堡垒�� Ƴ�� Ƴ�� Ƴ�� Ƴ��机”的两个重要意义。从品�� Ƴ�� Ƴ�� Ƴ�� Ƴ��牌策略来看，也是对应且明确�� Ƴ�� Ƴ�� Ƴ�� Ƴ��的。帕拉迪已经成为国内堡垒�� Ƴ�� Ƴ�� Ƴ�� Ƴ��机的重要品牌，结合国内重�� Ƴ�� Ƴ�� Ƴ�� Ƴ��要的合规市场需求，这点很难�� Ƴ�� Ƴ�� Ƴ�� Ƴ��丢弃，但是除此以外，围绕数据库和�� Ƴ�� Ƴ�� Ƴ�� Ƴ��身份而不局限在特权账号，IAM才是更�� Ƴ�� Ƴ�� Ƴ�� Ƴ��广阔的未来。

下一条：51CTO|为企业安全智能�� Ƴ�� Ƴ�� Ƴ�� Ƴ��运维赋能，...上一条：中国信息化周报|汉领信息发布下...�� Ƴ�� Ƴ�� Ƴ�� Ƴ��