你的企业特权访问管理(PAM)还局限在人类用户层面吗?
随着企业IT环境的日益复杂,企业非人类账号(即国内常称的“内嵌账号”)正以惊人的速度增加,其规模已达到人类身份的45倍多!
它们广泛分布于云环境、DevOps工具、RPA机器人等多个领域,成为潜在的安全漏洞。
内嵌账号通常是指直接在代码、配置文件或应用程序内定义并使用的账户。这类账户的用户名、密码或认证信息通常硬编码在应用程序中,而不是通过外部管理系统动态配置或验证。
它们往往拥有高特权访问权限,用于执行关键任务,如数据库连接、内部服务调用、业务系统协同管理等。一旦泄露或被滥用,将直接对企业数据安全和运营管理造成严重威胁。
近年来,针对供应链、DevOps工具、云服务等的攻击频发。这些攻击大多都是利用了内嵌账号管理的漏洞,如硬编码凭据、未加密的通信等。
在这些内嵌账号管理中,又以“应用内嵌账号”管理最让人头疼。
01
为什么应用内嵌账号最难管?
应用内嵌账号,指应用系统连接数据库的内置账号,或存在于运维自动化中连接操作系统执行脚本自动化任务或脚本文件配置的系统账号。
从这个定义就可以看出它的重要性,直接连接着企业最核心的资产——数据库。
这类账号往往以自动化账号生成或静默登录的方式嵌套在应用的使用过程中,广泛存在于整个应用的生命周期,并直接根植于业务系统。
由于调用这些应用的程序很多,因此企业很多程序往往将内嵌账号和密码以硬编码或明文的方式写“死”。
一旦这些账号、密码进行了更改,对应的程序就不能访问应用,程序运行时就会报错,直接影响企业业务正常运行。
因此,常规的特权账号改密手段根本无法用于应用内嵌账号。而金融行业证监会的要求规范、国家等保规范、密评标准中,都对密码定期修改提出了系列安全合规要求。
传统手工同步操作改密的方式,耗时耗力。有些中间件在修改密码时甚至要求整个应用服务器重启,对于企业高要求业务应用系统根本不可行。
想象一下银行支付处理应用程序,它每秒处理数千笔交易。即使片刻的中断也可能给企业带来高昂的代价。
这也是为什么很多企业不愿意做这件事,致使许多应用内嵌账号慢慢变成了服务账号,成为企业内部达成共识的一个特例——这些账号密码可能自系统上线后都不会更改。
02
内嵌账号改密难带来高风险
这些长期不改密的应用内嵌账号,很容易就成为了黑客攻击利用的目标,严重影响企业业务系统应用的稳定和敏感数据的安全。
从企业内部实际运营管理情况来看,应用内嵌账号的确带来了高风险。
企业传统管理应用内嵌账号密码的方法通常是通过配置文件或配置中心进行管理。这种管理方式相当于将账号密码写在一个文件里,虽然有的企业做了文件加密,但解密也很容易。
何况企业内部运维人员在运维部署时,往往会接触这些配置文件,拿到账号密码,并直接访问数据库,带来内部潜在安全威胁。
从外部攻击来看,不法分子可以通过任何一个漏洞(更何况长期不改密的内嵌账号本身就是一个很大的漏洞),登到服务器,找到放着企业内嵌账号密码的那张表的配置文件,连接数据库,即可直接将企业数据库拖走。
例如,某电商企业因长期不改密且未加密存储内嵌账号密码,导致攻击者通过暴力破解访问后台,窃取了大量用户数据,并引发大规模信任危机。
因此,内嵌账号密码改密成为企业特权访问管理过程中亟需解决的一个重点与难点。
03
企业内嵌账号如何安全平稳改密?
面对改密难、改密成本高、管理难、安全风险大的内嵌账号,企业到底该怎么办?
派拉软件特权访问管理平台(PAM)推出新功能——内嵌账号密码与访问管理,实现企业内嵌账号密码统一集中自动化安全管理,并重点针对企业“老大难”的应用内嵌账号密码进行安全管控。
采用一套 Java 编程语言开发的软件开发工具包(SDK),帮助企业在应用中快速实现内嵌账号的创建、管理、认证、权限控制等功能。
通过这一SDK,开发者可以集成内嵌账号的管理能力,在不影响系统应用正常运行的基础上,把硬编码的内嵌账号密码替换掉,并进行高效地统一应用内嵌账号密码管理。
利用“推拉”两种模式,进行内嵌账号快速平稳改密:
1
拉模式
内嵌账号密码更新由需要使用该密码的系统、应用或服务主动从PAM平台密码存储库中获取密码。这种模式下,系统会定期或在密码变更时,主动“拉取”最新的密码信息。
2
推模式
密码的更新由PAM平台主动推送给需要使用该密码的系统或应用。在这种模式下,PAM平台会根据预设的策略或定期周期,将最新的密码推送到需要更新密码的目标系统中。
针对企业关心的改密瞬间密码切换问题,派拉软件PAM平台也做了很好的处理。
在新旧密码切换瞬间,若管理员没有连接成功,程序会自动抓取连接失败的错误,并快速重新从后台拉出新密码,重新连接。
这个切换时间,派拉软件做到了毫秒级,几乎不影响系统的正常运行。
04
全方位保障便利性、可用性、安全性
整个内嵌账号密码管理过程中,派拉软件PAM平台在便利性、可用性、安全性上都有突出表现。
例如,在便利性上,利用JVM JavaAgent的嵌入方式,一个Agent适配所有数据库,应用无须打包或改造,配置简单,应用开发方无学习成本,增强使用便利性。
在可用性方面,系统采取本地内存和文件加密双缓存设计,密码失效会自动获取最新密码,结合定时拉取密码,最大保障密码可用性。
也就是说,即使在统管特权账号密码平台受影响的情况下,派拉软件PAM平台也能通过SDK的本地内存和文件加密双缓存能力,快速连接企业数据库,保障访问通道的顺畅。
即使整个平台瘫痪了,PAM平台提供的逃生机制,也可以打开备份文件,拿到里面的账号密码,保障系统的可用性。
在安全方面,mTLS双向证书,保障密码传输安全;来源IP、进程路径、程序MD5运行时控制,保障配置无法冒用,增加安全管控。
最终,助力企业组织构建覆盖企业人和非人类身份账号(内嵌账号)的统一安全管理体系,从容应对复杂的人和非人类特权访问管理难题,保障业务安全与稳定运行。