【51CTO.com原創(chuàng)稿件】4月11日，在2019年漢領(lǐng)信息全國(guó)渠道合作伙伴大會(huì)上，漢領(lǐng)信息總經(jīng)理陳云宣布帕拉迪下一代堡壘機(jī)(PAM)正式發(fā)布，以滿(mǎn)足自動(dòng)化運(yùn)維時(shí)代，企業(yè)數(shù)據(jù)中心對(duì)賬號(hào)管理和通道控制的需求，為企業(yè)安全智能運(yùn)維賦能。

不熟悉漢領(lǐng)信息和帕拉迪的人也許會(huì)問(wèn)：為什么漢領(lǐng)信息的大會(huì)，發(fā)布的是帕拉迪的產(chǎn)品?答案就是，漢領(lǐng)信息和帕拉迪本是同源。2005年，陳云成立杭州帕拉迪網(wǎng)絡(luò)科技有限公司，并在當(dāng)年發(fā)布了堡壘機(jī)。2015年，陳云意識(shí)到用戶(hù)真正需要的是IAM(Identity and Access Management 即身份認(rèn)證與訪(fǎng)問(wèn)安全管理)，于是又創(chuàng)立了專(zhuān)注于數(shù)據(jù)庫(kù)應(yīng)用安全領(lǐng)域的杭州漢領(lǐng)信息科技有限公司。

陳云認(rèn)為，網(wǎng)絡(luò)安全有三個(gè)“癌癥”：安全漏洞、人性的弱點(diǎn)和數(shù)據(jù)庫(kù)安全問(wèn)題。對(duì)抗網(wǎng)絡(luò)安全“癌癥”需要以用戶(hù)的問(wèn)題為導(dǎo)向，從三個(gè)方向出發(fā)：防護(hù)效果、解決安全風(fēng)險(xiǎn)帶來(lái)的時(shí)延問(wèn)題、保證用戶(hù)業(yè)務(wù)系統(tǒng)的穩(wěn)定。“安全并不僅僅是技術(shù)原因，更多的是來(lái)源于歷史原因和管理原因，要把這些原因統(tǒng)一考慮，必須把安全和管理融為一體來(lái)做。”

也正是出于這樣的考慮，漢領(lǐng)信息重在安全管理，持續(xù)專(zhuān)注于數(shù)據(jù)庫(kù)安全、體系安全、日志大數(shù)據(jù)分析三大方向。而作為安全管理的一個(gè)重要角色，IAM的一個(gè)重要子模塊，堡壘機(jī)將仍舊由帕拉迪繼續(xù)深耕。“今年下半年，帕拉迪將正式成為漢領(lǐng)信息的全資子公司。”陳云在演講中還宣布。

那么，什么是下一代堡壘機(jī)?下一代堡壘機(jī)具有哪些能力?帕拉迪下一代堡壘機(jī)PAM又添加了哪些新的元素呢?

新時(shí)代需要新的堡壘機(jī)

隨著IT技術(shù)的不斷發(fā)展，數(shù)據(jù)中心一直在不斷演進(jìn)。在主機(jī)層面，從傳統(tǒng)物理服務(wù)器到虛擬機(jī)，到到微服務(wù)架構(gòu);在網(wǎng)絡(luò)層面，從傳統(tǒng)網(wǎng)絡(luò)到現(xiàn)在的SDNS;在存儲(chǔ)層面，從倉(cāng)儲(chǔ)到數(shù)據(jù)湖;在數(shù)據(jù)中心的運(yùn)維層面，從人工運(yùn)維到現(xiàn)在IT運(yùn)維自動(dòng)化，開(kāi)發(fā)自動(dòng)化，DevOps和AIOps等等概念的出現(xiàn)，使得現(xiàn)有的傳統(tǒng)堡壘機(jī)無(wú)法適應(yīng)這些IT基礎(chǔ)架構(gòu)的變化，無(wú)法滿(mǎn)足用戶(hù)的安全需求，新時(shí)代需要新的堡壘機(jī)。

對(duì)此，漢領(lǐng)信息技術(shù)總監(jiān)王楓也表示，堡壘街亟需變革升級(jí)。歷經(jīng)多年發(fā)展，雖然堡壘機(jī)已形成了較為完善的賬號(hào)管理、權(quán)限管理和審計(jì)體系，但是依舊存在諸多缺陷：

一是，單臺(tái)設(shè)備無(wú)法支持多用戶(hù)大并發(fā)問(wèn)題，無(wú)法支持集群擴(kuò)展。

二是，管理不方便，授權(quán)需要添加策略，無(wú)法可視化授權(quán)，即點(diǎn)擊及實(shí)現(xiàn)授權(quán)，人資產(chǎn)分別以樹(shù)狀呈現(xiàn)。

三是，訪(fǎng)問(wèn)終端局限，移動(dòng)物聯(lián)網(wǎng)時(shí)代，無(wú)法支持手機(jī)運(yùn)維及對(duì)數(shù)據(jù)中心資產(chǎn)及權(quán)限的實(shí)時(shí)掌控。

四是，無(wú)法自動(dòng)收集賬號(hào)，當(dāng)目標(biāo)資產(chǎn)賬號(hào)變動(dòng)時(shí)，堡壘機(jī)無(wú)法知曉和響應(yīng)。

五是，無(wú)法支持自動(dòng)化平臺(tái)的特權(quán)賬號(hào)使用，自動(dòng)化平臺(tái)的運(yùn)維行為成了法外之地。

六是，無(wú)法與ITSM、CMDB、DevOps、網(wǎng)管平臺(tái)等系統(tǒng)聯(lián)動(dòng)配合流程化運(yùn)維。

下一代堡壘機(jī)是什么樣的呢?

該如何解決以上難題，滿(mǎn)足未來(lái)數(shù)據(jù)中心的安全管理需求呢?下一代堡壘機(jī)應(yīng)運(yùn)而生。

“所謂的下一代，更形象來(lái)講是新一代，新一代堡壘機(jī)針對(duì)新一代數(shù)據(jù)中心的新需求，滿(mǎn)足現(xiàn)有IT基礎(chǔ)架構(gòu)。”漢領(lǐng)信息技術(shù)總監(jiān)王楓認(rèn)為，下一代堡壘機(jī)強(qiáng)調(diào)特權(quán)賬號(hào)管理中心，并且需要具備以下六大屬性，才能稱(chēng)為下一代堡壘機(jī)。

屬性一：提供可編程環(huán)境通道。可進(jìn)行自動(dòng)化程序穿透，通過(guò)API接口，讓運(yùn)維自動(dòng)化不再是法外之地，整個(gè)自動(dòng)化過(guò)程可管理可審計(jì)。

屬性二：支持高可靠的集群和分布式部署。數(shù)據(jù)中心體量越來(lái)越大，相應(yīng)的堡壘機(jī)也需要與之相適應(yīng)，需要支持任意環(huán)境下的集群和分布式部署。

屬性三：支持移動(dòng)管理和運(yùn)維BYOD。移動(dòng)互聯(lián)時(shí)代，移動(dòng)管理和運(yùn)維逐漸成為剛需，下一代堡壘機(jī)PAM可通過(guò)專(zhuān)用App從管理者和運(yùn)維者角度進(jìn)行多方位管理和操作。

屬性四：數(shù)據(jù)安全控制。數(shù)據(jù)安全是企業(yè)關(guān)注的核心，要在運(yùn)維過(guò)程中解決數(shù)據(jù)的未授權(quán)拷貝及外泄問(wèn)題。

屬性五：賬號(hào)安全管理。對(duì)服務(wù)器和網(wǎng)絡(luò)中的各種賬號(hào)都能一鍵收集，并對(duì)其狀態(tài)一目了然，并做到最全單點(diǎn)登錄。

屬性六：高體驗(yàn)，高便捷。對(duì)賬號(hào)權(quán)限可自定義管理，支持多瀏覽器，為客戶(hù)提供可視化權(quán)限矩陣展示，提供一站式安全設(shè)置等。

王楓表示：“堡壘機(jī)的重要程度高于網(wǎng)絡(luò)防火墻。它管理所有權(quán)限，是高頻的安全設(shè)備，使用便捷且支持各種應(yīng)用環(huán)境，并且其自身安全性也極為重要。好的下一代堡壘機(jī)要成熟穩(wěn)定、安全可靠、技術(shù)先進(jìn)。” 

為企業(yè)安全智能運(yùn)維賦能，帕拉迪下一代堡壘機(jī)PAM發(fā)布

那么，帕拉迪的下一代堡壘機(jī)PAM囊括了哪些功能?又添加了哪些新的元素呢?

王楓告訴記者，帕拉迪下一代堡壘機(jī)PAM不僅具有傳統(tǒng)堡壘機(jī)的全部功能，比如：?jiǎn)吸c(diǎn)登錄、多因素身份鑒別技術(shù)、OCR標(biāo)題識(shí)別技術(shù)、數(shù)據(jù)同步技術(shù)以及RemoteApp無(wú)縫應(yīng)用等。“還將為數(shù)據(jù)中心基礎(chǔ)設(shè)施提供統(tǒng)一的、獨(dú)立的帳號(hào)管理及通道控制服務(wù)，數(shù)據(jù)中心基礎(chǔ)設(shè)施可編程，至此，SDN、SDS、ITSM、CMDB、自動(dòng)化運(yùn)維、各網(wǎng)管軟件等，將可通過(guò)下一代堡壘機(jī)對(duì)數(shù)據(jù)中心基礎(chǔ)設(shè)施進(jìn)行編程，實(shí)現(xiàn)控制閉環(huán)及AI處理。”

王楓以金融行業(yè)應(yīng)用為例解釋說(shuō)，隨著電子銀行業(yè)務(wù)的蓬勃發(fā)展，現(xiàn)在很多的銀行IT架構(gòu)投入的人力物力在增加，引入各種自動(dòng)化技術(shù)，通過(guò)自動(dòng)化提高工作效率。而與此同時(shí)，安全風(fēng)險(xiǎn)也悄然而至，自動(dòng)化變成了安全漏洞點(diǎn)。自動(dòng)化平臺(tái)為了提供便捷交付業(yè)務(wù)而生，卻沒(méi)有更多的防護(hù)措施，因此變成了不透明的黑盒子，比如腳本是否被惡意利用，自動(dòng)化平臺(tái)外不得而知。一旦出現(xiàn)問(wèn)題，管理員很難把自動(dòng)化平臺(tái)權(quán)限快速收回終止業(yè)務(wù)。而通過(guò)下一代堡壘機(jī)，管理員可以一鍵收回權(quán)限，切斷不安全的通信，然后進(jìn)行適當(dāng)?shù)娜斯じ深A(yù)。

除此以外，在本次大會(huì)上，王楓還對(duì)數(shù)據(jù)中心數(shù)據(jù)安全縱深防方案、數(shù)據(jù)庫(kù)全生命周期安全解決方案，進(jìn)行了詳細(xì)的解讀，分析了馬上要發(fā)布實(shí)施的等級(jí)保護(hù)2.0的相關(guān)要求，給出了相關(guān)解決方案。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】