摘要:來自BeyondTrust公司、CyberArk公司、Lieberman公司、NetIQ公司、Centrify公司和Viewfinity的特權身份管理(PIM)產品,能夠幫助企業控制超級特權用戶對于其程序和流程的訪問。企業實施特權身份管理是基于一個理念:最先進的安全威脅往往都會涉及到一個共同的因素,即獲取管理員、超級用戶、甚至本地程序管理員的權限憑據。通過獲取這些權限憑據,網絡攻擊者可以將遷移內部系統轉為對自己有利的方面,重寫安全策略并保持不被察覺。
企業實施特權身份管理是基于一個理念:最先進的安全威脅往往都會涉及到一個共同的因素,即獲取管理員、超級用戶、甚至本地程序管理員的權限憑據。通過獲取這些權限憑據,網絡攻擊者可以將遷移內部系統轉為對自己有利的方面,重寫安全策略并保持不被察覺。
特權身份管理工具能夠鎖定那些特殊的用戶身份憑據,所以,即使攻擊者成功的實施了違規破壞行為,也只是針對低級別的端點,而不會造成多大的危害。而一旦這些攻擊者試圖在受損系統中提升其權限,他們不僅將快速被檢測到,而且嘗試任何程序運行的行為都將會被阻止。
在這篇測評文章中,我們分別測評了來自BeyondTrust公司、CyberArk公司、Lieberman公司、NetIQ公司、Centrify公司和Viewfinity的特權身份管理(PIM)產品。當然,這仍然是一個不斷發展的領域,而各個測評供應廠商也正在從不同的角度來進行產品的研發。因此,這不是一對一的直接比較,而更多涉及的則是對于每家產品供應商研發PIM方法的分析。
每家產品供應商似乎都至少在一個領域內大放異彩。如Viewfinity公司的特權管理套件在鎖定所有用戶的權限方面運行良好,其通過對于大多數用戶完全不可見的很輕的接觸,是這方面產品中的佼佼者。
而Centrify公司的服務器套件和特權服務產品則淘汰了傳統的對于密碼庫的需要,讓用戶能夠通過使用正常登錄root據其需要訪問網絡資產,并從整個過程中刪除了多個密碼。
而CyberArk公司的特權帳戶的安全解決方案則是我們所測試的最為全面的系統之一,因為其是由五個不同的元素所組成的一個最全面的安全系統。
Lieberman的軟件解決方案的核心是其企業隨機密碼管理器,其可以在短短的幾分鐘內隨機生成成千上萬個密碼,確保即使發生密碼被捕獲的事件,也不會持續太久的時間。
NetIQ公司的特權帳戶經理集中在經常被人們所忽視的非人類賬戶領域,這些賬戶可能是屬于某些程序或進程程的,或者是那些無意中獲得了比其實際工作需要更大的訪問權限的任何用戶。
而BeyondTrust公司的PowerBroker UNIX &Linux產品則將PIM帶到了Windows環境之外,跨Linux和Unix 系統,這是當前市場所最迫切需要的。
以下,是我們對于每款產品的具體測評報告:
BeyondTrust PowerBroker UNIX &Linux
BeyondTrust公司的這款PowerBroker UNIX &Linux產品只能用于那些操作系統,盡管其可以綁定到一個能在網絡上控制所有系統的管理控制臺,包括那些為Windows產品提供保護的BeyondTrust PowerBroker。在撰寫這篇評論時,我們只測評了Linux系統。BeyondTrust公司的所有的產品都是永久性基于服務器的。這款PowerBroker產品的起價為199美元,折扣適用于批量采購。
當這款PowerBroker 產品最初被安裝在網絡上時,少數代碼被安裝在每一臺Linux機器上,以便作為回到中央安全服務器通信的代理。此后,針對每位用戶和每一個可能的命令的政策便可以從其他來源導入或使用主界面創建。雖然有一個非常干凈的GUI界面,BeyondTrust公司的官方發言人表示說,絕大多數的Linux用戶喜歡使用命令行界面。因此,我們的大部分測試都是使用命令行完成的。
PowerBroker將最低權限的概念發揮到了極致。安裝完成之后,用戶運行進程的所有請求,無論是遠程或在本地機器上,都需要發送到授權服務器。有很多規則可以基于諸如實際命令的需要來設置,包括用戶發出請求、他們的位置、甚至在一天中發出請求的時間。授權服務器將檢查策略文件,然后要么允許用戶運行該命令或拒絕他們的請求。在這兩種情況下,請求和決議都將被記錄。
如果某個請求得到批準,這并不一定意味著進程將作為root用戶運行。可以通過設置相應的策略,這樣命令是從低特權帳戶作為一個額外的安全層運行。所以一名用戶可能想要root訪問權限以運行一個進程,但并非讓該進程像某些管理類型或甚至是正常的用戶應該做的那樣運行。PowerBroker可以被配置只為每一個進程提供所需的絕對最低權限級別。
在我們的測試中,任何試圖繞過授權服務器的嘗試都失敗了。默認情況下,如果無法聯系授權服務器,例如如果斷開網絡電纜,所有請求都會被拒絕。嘗試在不經過授權服務器的情況下,獲得root訪問或對本地機器的管理員訪問權限,會被立即關閉。而本地機和授權服務器之間的所有通信均使用AES加密保護,以防止發生窺探或欺騙。
每個用戶請求的日志文件被存儲在中央服務器,其從網絡上任何一臺客戶機器上都是無法訪問的。因此,即使是來自企業內部的安全威脅也無法掩蓋其蹤跡。在PowerBroker的控制臺可以很容易地從每天的日志文件中發現所有失敗的請求,其可能是在一片以綠色標示的獲審批請求中,以紅色突出顯示。在這種情況下,即使一位用戶僅僅只是測試防御系統或數據庫,這些請求嘗試都將得到記錄。策略服務器管理員可以在任何時候通過報告進行檢查,或者設置為以各種形式定期提交,如以發送電子郵件的形式。
作為一種選擇,用戶會話可以被記錄并在以后進行回放。這可以通過設置,使得其能夠基于某些事件自動記錄,如正在發布的更高級別的命令或用戶遠程控制一臺機器而非在本地,或管理員所認為的任何有必要以保持安全性和一致性的記錄。由于大多數用戶正在利用Linux命令行界面,大部分這類記錄被簡單地捕捉為文本和按鍵,這使得文件相對較小。然而,如果存儲空間成為一個問題,數據限制也是可設置的。比方說,該程序僅捕獲最初的500K的數據,這通常對于了解用戶試圖達到什么目的是足夠的。
當使用記錄組件時,甚至包括刪除鍵的操作也會被捕獲。我們試圖模擬用戶想輸入一個命令,類似于刪除一個文件的命令,并在退出之前將該命令打出,然后又改變想法將其刪除。即使如此,只要我們輸入該命令,該進程也會被記錄,即使其從未發送。
許多Linux管理員可能使用SUDO來執行最低的特權策略。正如已經由其官方認可的,BeyondTrust公司有一個被稱為PBSUDO策略服務器的PowerBroker產品版本,其為SUDO用戶集成了PowerBroker的大部分功能特點,而最重要的是,除了從本地機器刪除了SUDO命令授權,其還能夠在遠程授權服務器像PowerBroker產品的主要版本那樣提供保護。
PowerBroker套件的最后一個組件是BeyondInsight工具,其使用分析來識別異常行為和首次事件。因此,如果一名用戶始終在本地登錄,卻突然進行了遠程操作,這一行為可能會被標記出來。或者,如果一家企業的某個管理員突然開始在其并不負責的區域閑逛,這一事件也可能會被用一面紅旗標注。這款工具的一個負面作用則是,其需要很長的時間才能變得有用,一般以三個月的時間最小基線。值得慶幸的是,用戶界面 顯示經批準的所有命令行,并在此期間將命令拒絕工作執行得很好,尤其是在如果有人花時間來熟悉正常的網絡操作的情況下。
而BeyondInsight可以真正發揮其幫助作用的地方便是在非常大型的企業組織內,或是在配置不正確的政策使得某些用戶執行了一些不應該做的事情的情況之下。其可以捕捉流氓信任的內部人士,但同時也屬于不正確配置的政策,可能會意外地允許不必要的流程和命令執行。
NetIQ公司的特權帳戶管理器3.0版本
來自NetIQ公司的特權帳戶管理器,該產品現在也是Micro Focus公司產品組合,將那些特權帳戶定義為可以訪問文件、運行程序、添加或更改現有用戶的權利。他們還專注于非人類的帳戶,而這些非人類的帳戶很可能是由某些程序或進程,以及任何被授予了超出所應該獲得的訪問權限以外的用戶所持有的。對于大多數企業組織而言,這是一個相當龐大的人員群體,但特權帳戶管理器則能夠通過使用自動化以及直接監測用戶活動來對它們實施管理。
NetIQ公司的產品的核心是企業憑證庫,其其以一種加密的數據安全方法存儲了所有資產的密碼。用戶并不需要知道他們需要訪問的系統或資產的密碼。相反,他們提出訪問申請,而如果訪問申請被批準,他們會被給予臨時性的密碼,而這些臨時性的密碼僅在一定的時間段內可用,時間過期之后無用了。這些密碼可能需要root據政策或需要通過策略服務器管理員的批準自動給出。幾乎任何規則均可以基于用戶和圍繞著該資產訪問請求的安全性進行配置。由于自動化方面的要求,諸如數據庫和云服務等程序可以利用vault源控制工具以及有效的自動流程,因為他們需要定期的執行。
使用圖形界面制定各種政策是一個簡單的過程。在選擇規則組時,企業用戶有各種各樣的分類選擇,如Windows訪問和甲骨文數據庫密碼檢查規則。您可以從活動目錄中導入一整套規則,或采用在企業組織內已經有的一些用戶形式或基于密碼的安全性事件中的任何其他數據庫程序規則。
管理員還可以在一個會話被授權的情況下設置規則,這是非常特殊的。例如,可以限制用戶輸入刪除任何文件的命令,或阻止用戶打開記事本復制數據到本地機器。您還可以指定某些禁止行為,例如試圖在Windows服務器上運行服務命令。不僅僅只是將其鎖定,用戶如若執行其中的一項被禁止的行為,便會自動斷開,結束用戶會話,剝奪他們的訪問權限和他們的系統密碼,并通知管理員發生了什么情況以及為何發生該情況。
我們試圖通過一些偷偷摸摸的巧妙方式以便在受保護的機器上規避這些禁止行為的規定,而每一次我們都會遭遇到會話連接被斷開,并被吊銷證書。在特權帳戶管理器的管理員面板上,那些被迫斷開將以明亮的紅色閃顯,使得我們企圖濫用的格局模式變得相當明顯。我們非常肯定我們曾試圖這樣在一個真實的生產網絡上進行操作,然后,就會有人會來找我們談話,或可能是護送我們走出大樓。
策略管理員甚至可以控制密碼檢查請求本身,假設系統被配置為在其循環中有一個人為因素。例如,如果一個用戶請求對某個特定服務器的一個高級別的訪問權限,但其給出的相關解釋說明并不能證明其是正確的,那么管理員就可以不必授予該用戶使用一個臨時的密碼,而是分配給那位用戶一個較低的訪問權限。為什么被授予低級別的訪問權限的一種解釋是,以便用戶知道該決定背后的邏輯。
通過特權帳戶管理器可以對用戶的全部會話進行記錄。有一款極好的審查程序列出了用戶在左側輸入的所有命令,同時在桌面的右邊像放電影一樣有一個完整命令視圖。您可以通過點擊左側的命令窗口,選擇視頻中的任意部分,這樣您可以看到用戶什么時候以及如何試圖打開服務,其也可以像播放正常視頻一樣通過控制鍵播放,獲快進按鈕快進,或在屏幕的底部點擊進度條進行視頻播放。在會話結束后,這可以在任何時間進行檢查,為管理員調查的一部分,或者在實時會話的情況下,對特定用戶進行調查。而且,為避免政策管理者濫用他們手中的權力,他們的所有行動也將會被記錄下來,因此會有人被分配檢查這些政策管理者的操作,以確保更好的安全性。
特權帳戶管理器3.0版本的自動功能可進行編程,令人印象相當深刻,其能真正幫助制止惡劣的犯罪和愚蠢的用戶錯誤,畢竟,這兩者造成的損失對于企業組織而言都可能是非常昂貴的。但是特權帳戶管理器真正發揮最佳作用的時候是人為操作行為也將會被監測,并積極響應用戶訪問系統資源的請求。該接口界面很光滑,單個管理員可以輕松地管理相當多的用戶,請求可能需要等待幾分鐘,即使是在高峰時段的請求批準。
特權帳戶管理器3.0版本的起始售價為每個實例許可證787美元。對于這個價格,其對于那些有安全運營中心有專門的工作人員的企業而言,將是一款相當棒的工具,能夠幫助他們在實時保衛自己的網絡方面發揮積極作用。在大多數企業組織中,較之有SOC團隊響應無盡的警報,這會更有效。由于所有特權帳戶均被鎖定,并實施了主動的監測,那些猖獗的SIM警報的重要性將大大降低,同時也可能不再頻繁了。
Lieberman公司的企業軟件隨機密碼管理器
Lieberman的解決方案的核心是企業的隨機密碼管理器(ERPM)。這款ERPM是一款相當強大的工具,可以在短短的幾分鐘內隨機生成成千上萬個密碼,以便作為警報或直接root據設定時間表生成,以確保即使發生密碼被捕獲的事件,其有效期也不會很長。
對于大多數企業組織而言,在網絡上設置ERPM應該是一個無縫的過程。無需在管理系統上安裝代理,這使得ERPM相當獨特。相反,受信任的用戶帳戶在受保護的系統是利用托管的網絡把所有未來的密碼管理交給ERPM。如果活動目錄文件或網絡地圖被保留,這或多或少都是自動化的。當然,如果需要的話,也可以手動添加個別系統和設備。
一旦系統密碼的控制交給了ERPM,管理員可以設置規則,以確保所有生成的密碼符合網絡上的每臺機器的限制。例如,管理員可以指定新密碼是否必須遵守Windows 2003,2008或Vista的字符數規則,或者一個密碼是否可以從一個符號開始。也可指定是否允許大寫和小寫英文字母,數字和符號同時使用。也可以指定是否要為每臺機器生成一個唯一的密碼,活著一個機器組群應該共享該密碼。而鑒于ERPM管理著一切,如果不是對每臺機器生成的唯一密碼,將是一種適得其反的方案,造成徹底的危險。
用戶申請密碼,以獲得對于由ERPM管理的系統的訪問。這些可以root據企業的管理政策自動予以批準。我們建立了一定的程序,讓相關工作人員在工作時間被授權對于某些系統具有一定的訪問權限,如果他們在這些參數范圍內,并且是在工作時間內登錄到這些系統,即可適用自動批準的規則。或者,每個人的申請都可以經由人工審批,雖然這可能需要一個專門的工作人員來處理,還可能會導致正常的日常生產略有放緩,因為其它工作人員需要等待授權以使用資源。
在這兩種情況下,密碼校驗設置若干小時后到期,于是ERPM將為該系統產生完全新的密碼。從用戶的角度來看,可以用新的憑據自動登錄鏈接,并使用新的憑證自動記錄,也可以將其剪切并粘貼到批準的機器登錄字段。
從ERPM控制臺,管理員可以查看所有指定的密碼,包括目前正在使用的密碼以及對于所有過往使用的情況的記錄。那些正在等待批準的人也被突出顯示,以便他們可以快速地檢查自己的申請是否被批準或被拒絕。所有的會話可以被記錄,而ERPM管理員可以檢查這些數據,或進入公司的SIM卡系統進行檢查。
如若出現一些可疑的彈出框,如正在進行的會話發生了某些不對勁的情況,被莫名其妙地不獲批準,甚至是來自企業組織SOC的警告,ERPM管理員可以選擇在整個網絡和在緊急情況下在每一個活動線程到期之前,針對每一個口令發出變化信號,通過一類虛擬的恐慌按鈕,進而可以停止所有以前曾經批準過的網絡活動。我們的測試環境有幾十系統,所以該方法被迅速完成,但是,ERPM具有獨特的結構,允許它被部署在擁有成千上萬的客戶段的網絡,并仍然能夠在幾分鐘內完成全部密碼的刷新。這是因為,ERPM服務器的中心是一個大型部署,連接到多個區域處理器,其中每個都管理著不同的用戶組,并鏡像命令,將其從主托管機器發出。
因為有相關的漏洞將允許現有的連接保持不變,因而為Windows設備重置密碼可能會非常棘手。這就是所謂的金票(golden ticket)型攻擊,其中攻擊者會劫持會話,使之保持活躍狀態,并在了密碼重置的情況下,更新其他用戶的憑據。ERPM的失敗就在于其是通過兩次快速會話自動改變所有的Windows密碼,這是在管理面板通過單個復選框進行設置的。兩次更改密碼迫使整個企業組織經歷緊急復制。這將使得金票憑據到期,因為這將是兩次迭代。作為一項預防措施,ERPM可以設置為始終更改雙重密碼,即使按照設定的計劃例行輪換。
ERP的另一個有趣的方面是其被稱為賬戶池的一個功能,該功能可以被用來確保離線系統給予適當的密碼重置。此外,可以允許管理員來檢測在網絡上沒有被授權而只是斷斷續續連接的設備。
該賬戶池的工作原理是三個賬戶是建立在資源池中,或者如果密碼在全局范圍更改相當多。當開始發生變化時,ERPM也會連接帳戶以使用驗證池。由于所有賬戶都被進行了監控,當管理員看到一款設備試圖驗證到二號池,而ERPM已經為該設備批準了三號池的其他一切資源權限時,這意味著該系統是有問題的,要么是脫機了;要么或是在近期加入了未知的系統,或者可能沒有被授權。像其他在ERPM中的一切操作一樣設置帳戶池極其簡單,歸結起來,無需檢查多處,只需添加另一層安全層到一個已經令人印象深刻的系統。
Lieberman軟件的企業隨機密碼管理器證明,有多種的方式來實現良好的特權身份管理。該產品的起步售價為25000美元,其與其他特權身份管理解決方案類似,但該產品提供了在網絡內對所有密碼的支持,而不只是屬于特權用戶的密碼支持。可以鎖定一切,甚至有一個緊急按鈕,以便能夠在一個可疑的威脅事件發生時切換每一個密碼。
CyberArk特權帳戶安全解決方案
Cyber Ark公司的該款特權帳戶的安全解決方案是我們這次審查測評產品中最全面的系統之一。該產品是由在同一用戶界面下運行的五個單獨元件所組成的,五個元件均可以root據需要單獨購買并安裝。五個組件分別是企業密碼庫、SSH密鑰管理器、特權會話管理器、應用程序身份管理器和按需權限管理器。
該系統的核心是企業密碼庫,很可能每家使用該系統的企業用戶都會將其放在系統首位。該企業密碼庫是一個存儲和監控密碼的存儲庫,用戶需要訪問該密碼庫,才能獲得使用系統資源的權限。然而,Cyber Ark的密碼庫比其他僅僅只是將每個密碼保存在一個單一的加密數據庫的解決方案更安全。相反,在Cyber Ark的密碼庫內,每個密碼均進行了存儲并單獨加密,所以其更像是一個系列的保險箱不是單個的密碼庫。這樣,即使有人以某種方式破解了AES加密,而這也是不太可能的,他們也將只能獲得一個密碼。另外,在我們的測試中,確保個體密碼的安全對為授權用戶檢索的速度沒有負面影響。
需要登錄到受特權帳戶安全系統保護的資產的用戶都被授予信息面板的使用權,該信息面板包括了該用戶帳戶類型的不同的服務器和系統群組信息。例如,用戶可以在他們在最近訪問的選項卡下、或者在他們的收藏標簽下看到自己以前經常使用的系統。假設用戶目前沒有訪問系統,他們將需要選擇顯示密碼命令按鈕。這將要求他們填寫一個很小的細節,其將需要填寫密碼的期限和訪問的原因。他們還可以指定,他們是否只需要在此期間使用的密碼一次,或在指定時間段內可能需要登錄多次。用戶會被告知具體的管理政策,以及在他們的請求提交前,需要經過多少人的獲準審批。
回到管理員方面,我們通過我們的Outlook電子郵件收到密碼訪問請求。打開郵件給了我們一個鏈接返回到管理控制臺,這也顯示了用戶正在等待的所有未決請求。如果管理員正在工作中,并且其控制臺是打開狀態,他們將有可能以這種方式來看到所有的請求,但電子郵件提示是一個很好的第二選擇的方法,尤其是對于關鍵的請求事件。查看這些請求能夠讓管理員掌握所有的相關細節,包括誰發出的請求,所需訪問的準確的資源和時間,以及該用戶所希望的密碼功能。也有由用戶提供的作為他們需要完成的具體工作的簡要說明。
這些請求可以得到確認批準或否認拒絕,而管理員能夠將這些是否批準的決定以消息形式發送回用戶。假定被給予了訪問授權,則用戶可以利用該密碼中指定的時間進行訪問。在此之后,密碼被重置,當前密碼變得一文不值。
并非所有密碼都需要這種級別的審批。例如,某些已知用戶需要對非管理員類型的任務系統進行例行訪問,可以設置為只要他們點擊顯示密碼圖標,就能夠看到一個密碼。該系統還可以被設置為為那些自動給予訪問權限的用戶紀錄他們的操作行為,而他們的密碼可能仍然會過期,其會在每次用戶完成他們的工作之后改變,但其會防止任何在用戶只是想完成日常工作的過程中形成審批過程。
事實上,可以使用CyberArk特權帳戶的安全解決方案設置不同級別的訪問權限,這一功能令人相當印象深刻。我們甚至能夠通過應用程序標識管理器組件來管理帶有某些軟件包的默認帳戶。而即使那些默認的帳戶沒有接觸到活動目錄也是可以的,從而防止在網絡的權限結構中出現看不見的漏洞。
一個被稱為Cyber Ark DNA的組件可用于識別那些隱藏賬戶,以便它們可以被包含在安全策略之中。建立政策時的易用性是基于這樣的事實:即不僅有可以定義非常詳細的主策略,同時也能夠很容易添加例外情況,對于用戶來說,應用程序和特定資產使用適用幾乎任何需要的標準。而好處是,即使是在一個例外的情況下,其并不意味著安全受到威脅,用戶仍然可以運用資產的監控和記錄。任何異常事件也可以被直接發送到企業的SIM。
用戶會話的記錄是非常精確的。系統記錄按鍵和視頻截取會捕捉正在發生的一切,但其也使得收集的全部數據完全是可搜索的。我們搜索了檔案內的任何有人輸入特定的命令時的情況,然后我們測試系統中的記錄迅速彈出幾個視頻。這些視頻不僅顯示了我們搜尋的命令是由誰輸入的,同時還顯示了他們輸入這些命令的時間,精確到秒。對于任何網絡安全人員,審計人員或法醫調查人員而言,這將是一款相當有價值的工具。如果沒有這樣一款詳細的搜索工具,企業所收集到的數據的絕對數量可能使其很難找到其真正所需要的資源。但這樣一來,搜索范圍可以日益縮小直至完全精確找到用戶和命令,甚至確切的時間幀,以及需要進行調查的位置。
我們所測評的Cyber Ark解決方案的最后一個組件是按需權限管理器,這是該套件的最新的組成部分。它用來提供對某些系統如Linux進行本地訪問,其中管理員則是用來與SUDU工作,并保持本地存儲的策略決策。按需權限管理器允許這種情況繼續發生。事實上,我們可以在測試機器上運行本地管理員的命令,即使已經從主權限管理服務器斷開連接。然而,會議仍在記錄,以便用于審計、加密,并可以被自動送回存儲庫,以確保安全。
在一系列的組件中部署CyberArk特權帳戶的安全解決方案,不僅保持了解決方案的輕便,同時也允許企業用戶root據需要建立自己的特權身份管理解決方案,還同時保持了相同的基本接口。Cyber Ark部署解決方案的起步售價為35,000美元。既可購買部分組件安裝,也可作為一個整體包安裝,CyberArk提供很好的防護,并從幾乎任何可能危害網絡安全的路徑定義了對特權身份的保護。
Centrify公司的服務器套件和特權服務
雖然很明顯,傳統的外圍防御在應對最現代化的網絡威脅時已經失敗,但Centrify公司產品背后的理念則是,圍繞著身份管理需要形成一個新的邊界。該公司的服務器套件和特權服務產品首次將身份整合到了一個可管理的領域,極大地縮小可能的攻擊面,從而消除了網絡管理員和在緊急情況下使用的root問題等賬戶。相反,用戶可以以自己的身份登錄和他們有root據工作需要獲得系統權限提升的授權,而不必從保管庫中獲取密碼,甚至不知道root或管理員密碼。
服務器套件和特權服務可以通過將移動設備變成沒有遠程攻擊者可以訪問的第二個認證因素,從而使的網絡更安全。移動用戶需要下載一個應用程序來利用這個系統,但在實際的網絡中,無需在任何客戶端安裝代理,只需托管服務器。
服務器套件和特權服務與Windows,Mac和二者的混合環境兼容,是這篇測評文章中最經濟的產品之一。標準版的服務器套件每臺服務器的成本為385美元,再加上每年的維護費用,不管有多少用戶或客戶需要進行管理。特權服務將遠程管理功能添加到服務器套件中,并且可以以每位需要對其進行訪問的IT人員每月50美元的價格購買。服務器套件產品是這篇測評文章的重點,是以安裝本地軟件在代理服務器上運行進行交付的,而特權服務產品的所有功能都是基于云服務交付的。
有趣的是,盡管大多數該領域的產品都是圍繞著以采用某種形式的數據存儲庫為中心,以便用戶可以檢查存儲密碼,而服務器套件更多的則屬于次要組件。root和管理員密碼在存儲庫中進行存儲和管理,并且可以隨時間而改變,但是,用戶一般不會去存儲庫,除非有某種類型的緊急情況,而它的工作原理非常像任何其他類型的系統庫。如果需要的話,一個用戶請求的root密碼如果獲得批準,那么其會在很短的一段時間內發出,然后再生。而服務器套件也沒有必要使用SSH密鑰庫,因為客戶端和服務器在網絡上使用Kerberos彼此進行身份驗證,授權服務器處理加密的一次性密鑰交換。
不是使用一個庫,服務器套件管理員可以設置不同的權限,可以給授權用戶系統的使用。用戶只需像正常工作方式一樣登錄。如果他們需要管理員或root訪問權限,而如果用戶被授權這樣做,服務器套件將允許該進程運行。除非一個典型的最終用戶試圖執行的內容是不被授權的,他們可能根本不會與Centrify服務器套件有非常多的接觸,雖然他們有權限可以使用管理面板,該面板能夠顯示他們的各種權限,以及可以訪問哪些資產。
在管理方面,用戶按區域被劃分。最初大部分的區域屬性可以使用活動目錄策略創建。然而,一旦服務器套件被建立且運行,添加新的用戶則是一個簡單的過程,因為其可以自行建立區域。
一個區域基本上是一個與他人共享訪問特性的用戶類型。例如,您可以設置一個財務群組,讓那些能夠與財務工作相關的用戶訪問計算機,并運行相關群組的進程。或者您可以設置一個由系統外部承包商所組成的區域,給予非常有限的權限訪問機會,以方便他們完成自己工作的需要。如果新加入了一個新的財務人員到該群組領域,該人員可以簡單地被添加到財務部門,整個過程只需幾秒鐘。同樣,如果有人離開企業組織,從區域刪除他們也是非常快捷方便的,并能夠同時刪除他們的所有憑據和權限。在設置用于令人難以置信的細節區域方面,也是有很多不錯的選擇的。例如,我們為服務幫助臺的用戶們成立了一個群組區域,這讓他們對于日志文件能夠只讀訪問,這樣他們就可以發現問題,并幫助用戶,而沒有造成任何新的問題。
該區域防御使得管理大量的用戶更容易,因為不同的管理員可以劃分到每個區域,其也可以防止網絡內的橫向移動,即使用戶的身份被泄露。例如,當我們在我們的外部承包商群組中發現用戶的身份破壞泄露時,該用戶就只能訪問他們被分配到工作區的特定系統。任何試圖訪問區域外的任何系統或資源的操作都不僅會以失敗告終,同時該帳戶還會被標記為可疑,而甚至可能根據政策配置被撤銷所有的權限。
新用戶可以從頭開始獲準訪問各種系統資源,如果該新用戶是需要以某種獨特方式完成工作的話。但是,一旦該規則建立,大多數新用戶將有可能只是被添加到現有區域,來獲得這些屬性。此外,很容易在添加一個新用戶時到區域時創建例外的規則。我們在這個測試中創造了許多新的用戶。在大多數情況下,服務器管理套件所需要做的便是使用一系列的復選框來定義用戶的訪問屬性,甚至沒有檢查這些新的用戶是否完全適合于一個既定的區域。可能的選擇包括強制用戶在登錄時使用雙因素身份驗證,進而才能夠訪問網絡中的各種資源,甚至運行特定的命令。用戶還可以被授予訪問用戶版本的服務器套件控制臺的權限,這樣他們可以看到哪些操作是他們被允許的,而又被限于哪些操作。有些東西您可能想給予內部員工,使他們能夠避免試圖做一些他們的職權范圍以外的事情用戶。而這肯定不會是您想要與外部承包商分享的東西。
在審核方面,主跟蹤面板清楚地顯示了用戶和他們每個會話使用的命令,因為兩者是直接在系統中連接在一起的。較之其他特權身份管理程序,該產品是很好的,因為您不只是看到root帳戶被選中,然后必須調查以查看其是如何使用或由誰使用的。相反,您能夠從管理菜單的頂層按用戶排序看到每個用戶都做了哪些具體的事情,目前正在做的事情。
管理員可以通過包括了實時記錄以及按鍵紀錄的截屏來調出用戶的記錄會話,這是完全可搜索的。而且因為沒有人通常會檢查root密碼,甚至直接輸入,因此也就沒有后門或漏洞可被利用來繞過監控過程。Centrify公司可以為大型網絡建立一系列的收集設備,來處理該大量可能生成的審計工作負載,雖然我們的測試平臺沒有任何這方面的需要。
一款獨立,但已經與Centrify公司的產品進行了集成整合的產品是他們的身份服務產品,其增加了一個聚焦于身份的企業移動管理平臺。與服務器套件完全集成,可以使用員工很可能已經隨身攜帶的設備為任何受保護的網絡添加雙因素身份驗證。用戶只需下載針對他們設備的應用程序,并以自己的身份登錄。設備在連接可以被迫使符合之前確立的相關規則,以確保它們不會造成破壞或被破壞。
此后,當訪問由服務器套件保護的網絡業務時,用戶可以被要求使用這些設備作為第二形式的身份驗證。我們甚至能夠使用低端設備,一個老舊的iPod Touch作為二級憑證。一旦我們強迫用戶使用該憑證,每次他們登錄時,他們都會被提示要在iPod的屏幕上輸入四位數代碼。這樣是為了確認實際正在持有并操縱該設備的實際上是人,而不是一個機器,同時需要輸入正確的密碼,證明他們很可能被授權的用戶。為了獲得更大的安全性,某些具有指紋掃描儀 設備的用戶,可將其代替提示使用,作為其登錄的一部分。然后,企業組織可以讓他們的員工攜帶帶有指紋掃描儀 的設備工作,并添加生物識別技術作為另一級別的網絡安全措施,而該技術已經內置到Centrify的產品中了。
Centrify公司的服務器套件是在測評審查最容易使用的產品之一,同時也是最具經濟性與許可授權方案最不復雜的解決方案之一。除此之外,當與特權服務和身份服務結合,其將安全完全從網絡安全邊界防御現已無效的方法移除了,并且轉移到保護身份方面。這使得網絡策略得到強制執行,無論執行的用戶是誰,他們使用的是什么設備或最終受到保護的是什么網絡資源。
Viewfinity公司的特權管理器
在我們的測試中,這款來自Viewfinity公司的特權管理器套件在鎖定所有用戶的權限,提高網絡的整體安全方面運作良好。其真正亮點在于其與用戶只有很輕的接觸,能夠對大多數用戶在他們的正常作息工作中保持不可見的隱形能力。
讓Viewfinity權限管理器工作的第一步工作是一個無聲的發現階段,其需要在目標網絡上花費幾個星期的時間。作為這一過程的一部分,代理安裝在所有Windows客戶端,以幫助Viewfinity記錄該客戶端的交互,并最終執行訪問策略。雖然當前的許多訪問權限可以從活動目錄中導入獲得,也有很多應用程序、腳本、流程甚至那些可能不經常連接的用戶,可能因為這樣做而錯過。 所以Viewfinity需要觀察幾個星期的時間,并記錄下誰、在什么時間段訪問了什么資源,以及他們在網絡上做了什么操作。所有這一切都被放置到策略的創建引擎,使得一旦發現階段完成,高于一切權限的管理員能夠了解對于如何允許訪問網絡進行總量控制。
Viewfinity提供了一款免費的工具,使網絡能夠通過這個發現過程,幫助確定相關用戶的身份,以及具有什么樣的管理員權限。對于大多數企業組織而言,這很可能將成為一次大開眼界的過程,因為他們從設備到腳本的一切可能有一些類型的特權訪問,其也有可能是非托管。
Viewfinity權限管理器的第二個組件是應用程序控制軟件,作為該軟件包的一部分我們對其進行了測試。雖然他們可以單獨購買,但他們是如此的關系非常密切,并共享相同的用戶界面和管理控制臺,在企業組織已經購買了一個組件的情況下,而不想要另一款組件是很難想象的。
在Viewfinity產品的易用性方面,其中一個最有趣的事情是其可以識別多少值得信賴的來源,并如何根據策略定義來處理它們。例如,我們建立了我們的Viewfinity測試平臺,阻止以前未知的任何程序訪問網絡。當我們從外部下載應用程序,并試圖運行時,我們得到了“這個操作不被管理政策允許”的警告。然而,我們也能夠告訴Viewfinity任何來自網絡共享驅動器的東西可以是可信任群組程序的一部分,即使其在先前對于系統而言是未知的。然后,當我們從受保護的網絡共享下載相同的程序,用不同的政策來代替管理。在這種情況下,程序被允許運行,但管理員會被通知發生了什么事。
可信源的政策是非常穩健而強大的,甚至適用于數字簽名。例如,如果您的企業組織使用愛普生打印機或思科的通信設備,可以允許只要經過數字簽名這些設備便可以訪問網絡,并安裝更新。但是,如果即使是這種水平的自動化也太過危險,也是完全可選擇的。
使用Viewfinity界 面設置策略非常容易。有三個策略類型的大按鈕,管理員可以用以適合所有的一切,以及用于在以前未知的情況下使用的策略。在最底層是監視器選項卡。這最好用于可信任的應用程序的使用和已知的系統管理員的操作。監測可以在許多不同的層面應用,全面記錄每個按鍵和拍攝整個會話,并簡單地通知相關人員正在實施的操作。
限制訪問選項卡在安全層級中的下一級。屬于這一類的程序和用戶會有多種強加給他們的限制。例如,應用程序可能被允許運行,但被阻止訪問互聯網,或禁止從任何文件本身進行一個新的下載。監控和 通知也應該被用來保持對屬于這一類嫌疑人和事物的高度監控。
在高端的是拒絕選項卡。放置在這里的任何東西均可能會被稱為惡意軟件或至少有點像網絡所不必要的。其也可能是一個被企業解雇或離職的用戶。鎖定應用程序或用戶可以限制其在網絡上執行任何功能,其甚至可以被鎖定,阻止其本地執行任何運行操作。發送給那些受到嚴格訪問限制或鎖定策略用戶的消息可以是完全定制的。這些消息是友善或是預警似的完全由網絡管理員決定。而如果需要的話,公司徽標或官方logo也可以成為信息的一部分。還有一個過程,而且如果您企業需要的話也是完全可定制的,以便讓相關用戶解釋為什么他們需要有一個具體的方案能夠訪問網絡資源或為什么他們需要正常政策之外權限。管理員可以考慮這些用戶的要求,并必須保持相關的限制,改變程序的訪問級別,聲明其是被信任的,甚至授權有問題的軟件或程序進行一次性的運行。
Viewfinity產品的另一個優點在于其靈活性,目前已經有程序到位,讓每一個規則都有不同尋常的例外。例如,一個網絡數據庫可能針對遠程訪問被鎖定,但在出差旅行中的企業雇員可能需要從他們的酒店房間進行訪問。在這種情況下,管理員可以發出一次性遠程訪問密碼,以方便這些特定用戶對于特定資源的訪問,所有這些都可以通過電話來完成。
Viewfinity權限管理器和應用程序控制定價基于臺式機、筆記本電腦和被管理的服務器的數量而異,并并取決于產品企業用戶所購買的部署許可。基本配置的起始售價大約在35,000左右。
除了其防止惡意或損害特權用戶的網絡保護的基礎功能外,Viewfinity權限管理器還有兩大主要的優點,是其能夠將絕大多數用戶的訪問權限級別維持在一個平均值水平,甚至包括管理員級別的用戶,并且能方便地定制琳瑯滿目的訪問選項 。我們可以創建規則來處理每種管理離奇的權限的情況。鑒于大多數企業網絡可能都至少有一些這樣的情況,這使得Viewfinity公司的權限管理器成為不尋常的情況下一個非常棒的選擇,同時還能夠提供日常的特權身份保護。
本文作者約翰·布里登是一位擁有超過20年的業界相關經驗、并屢獲殊榮的評論家和演說家。目前,他是Tech Writers Bureau的CEO,該公司擁有一批有影響力的記者和作家寫手,這些撰稿者均供職于政府機構和其他各行各業。各位讀者可以通過[email protected]聯系到他。
京公網安備 11010502049343號