在2023年6月的gartner安全和風險管理峰會上,首席資訊保安官(ciso)應該關注的十大安全專案再次表明,特權訪問管理(pam)是其中最重要的。
儘管業內權威一再提醒管理特權賬戶的重要性,許多特權帳戶仍然未受到保護、不被重視或管理不善,使它們成為容易被攻擊的目標。基於這些現實情況,本文列出了幾條保護特權賬戶的最佳實踐,僅供it管理員和安全管理員參考實踐。
自動發現特權賬戶,並對其進行集中化追蹤
如果您想管理公司的特權賬戶,實現賬戶資訊保安化,那麼,首先要做的是,針對公司內部、外部網路上的全部關鍵資產、關聯賬戶以及關聯憑證進行有效的發現。隨著公司發展的壯大、基礎架構的擴充套件,您要保證it團隊具備超強的「發現」能力(即搜尋發現資產資訊),以便於應對特權賬戶的增多情況,對其進行持續的跟蹤管理。乙個能夠完全自動化定期掃瞄網路、檢測新賬戶,並登記管理的應用程式,將成為pam(特權訪問管理)最佳戰略的組成部分。
安全集中儲存特權賬戶
摒棄過去那種本地化、單獨分布式的、需要由許多團隊共同維護的資料管理模式。同時更為重要的是,要極力避免員工在便利貼上記下自己的密碼,或者以純文字的方式儲存密碼。這種做法不但要承擔大額風險,也會帶來一系列的問題,例如越來越多的過期密碼、團隊協同合作問題,進而導致工作效率低下。正確的做法是,將所有部門的特權帳戶和憑據儲存在乙個集中的儲存庫中。此外,使用現在嚴密的加密演算法(如aes-256)來保護您儲存特權帳戶憑證的儲存庫,避免惡意訪問。
設定特權訪問許可權,明確使用者角色
特權帳戶被安全地儲存於儲存庫後,針對使用者對其的訪問就可以進行有效的管理與控制了。正如高階網路安全中心(acsc)所述,「根據使用者職責限制其對作業系統和應用程式的管理許可權。」 對於pam管理員來講,需要明確劃分各it成員的角色,使該角色僅具有其所需的最低訪問許可權,同時確保特權賬戶不是針對日常活動,如閱讀郵件、瀏覽網頁等設定。
設定多重身份驗證(針對員工及第三方人員)
根據symantec 的2023年網際網路安全威脅報告,通過使用多重身份驗證的方法,可以有效避免高達80%的漏洞。對於pam管理員和使用者而言,實施雙重或多重身份驗證可以保證敏感資料的訪問安全。
消除純文字式特權帳戶憑據共享行為
pam管理員不僅要關注消除因角色劃分不明確而帶來安全隱患,同時也要實現安全地共享實踐。確保資料安全,在不需要以純文字方式暴漏憑證明文密碼等資訊的前提下,提供員工或使用者針對it資產的訪問許可權。同時借助pam管理工具,使使用者無需檢視或輸入該憑證,就可以一鍵式連線到目標裝置。
嚴格的自動密碼重置策略
對於it團隊的管理而言,每個特權賬戶都使用同乙個密碼,能夠使工作相對輕鬆容易許多,但是,這種方法卻及其危險,會導致整個網路環境出現高危漏洞。想要安全管理特權賬戶,您需要使用乙個超強、獨一無二的定期重置密碼策略。為了消除固定密碼以及未授權訪問帶來的安全隱患,您需要將密碼自動重置視為pam策略中不可分割的一部分。
臨時訪問的控制實施
建立這樣乙個策略:當使用者需要賬戶憑證訪問某個遠端資產時,強制要求他們給公司的pam管理員傳送訪問申請。為增強安全控制,pam管理員將只為使用者提供臨時訪問憑據的許可權,同時可通過設定訪問時間、在規定的訪問時間到期時能夠撤銷訪問許可權並強制消除密碼。進一步,pam管理工具還應可以在使用者消除密碼後自動重置密碼。
停止在指令碼檔案中嵌入憑據
許多應用程式需要頻繁訪問資料庫和其它應用程式,以查詢與業務相關的資訊。公司通常通過在應用程式中嵌入帶有明文憑據的配置檔案或指令碼的方式,實現該過程的自動化。但是,這為管理員識別、更改和管理這些嵌入式的密碼帶來極大挑戰。使用固定的密碼,保證了業務執行的效率,使管理員的工作更加輕鬆,但也為不懷好意的黑客們提供了便捷的入侵途徑。為解決該問題,it團隊可以利用安全api,即當應用程式需要使用其它應用程式或遠端資產的特權帳戶時,利用安全api直接查詢pam工具。審計
言而總之,全面的審計記錄、實時警報和通知確實讓工作變得更輕鬆,這些過程不僅記錄了每個使用者的操作,同時也實現了針對所有與pam管理相關責任的明確及透明性。通過與內部事件管理工具的整合,將pam活動事件與公司其它事件進行整合分析,智慧型識別異常並提供通知。這為綜合事件分析,以及檢測漏洞將提供了極大的幫助。
卓豪password manager pro是乙個面向企業的特權物件管理軟體,用於全面管理伺服器、網路裝置、資料庫以及各種應用程式的密碼,以及各種ssl、ssh數字證書等。幫助集中儲存安全物件資訊、安全共享密碼、實施標準化的密碼策略、追蹤密碼訪問歷史、控制使用者非法使用,助力企業實現安全化的管理規範要求。
刪除乙個OSD的最佳實踐
當你要縮小集群規模或者處理壞盤時,你就需要通過刪除osd來實現,但是在刪除之前你要確保集群不會達到full的狀態。雖然社群的文件給出了刪除乙個osd的步驟 並且也能夠work,但是它不是最好的方案,因為這其中會涉及到兩次資料遷移,即在執行 ceph osd out osd.x 和 ceph osd ...
4個實施持續測試的「最佳實踐」
開發是乙個有趣的大事件,因為我們處於傳統測試與現代和持續測試之間的邊界,正在從乙個大型的筒倉式的結構轉型到乙個新的架構。之前的組織架構包含了開發團隊和集中測試團隊,瓶頸和延期不斷的在這兩個團隊間交替進行著。這種新架構由小型,自管理和自給自足的團隊組成,它們頻繁發布軟體,使用持續整合工具自動化,並管理...
shell 指令碼程式設計的10 個最佳實踐
每乙個在unix linux上工作的程式設計師可能都擅長shell指令碼程式設計。但大家解決問題的方式卻不盡相同,這要取決於對專業知識的掌握程度 使用命令的種類 看待問題的方式等等。對於那些處在shell指令碼程式設計初級階段的程式設計師來說,遵循一些恰當的做法可以幫助你更快 更好的學習這些程式設計...