是否出现这样的账号防护需求?(法规要求、防护基准)

访问控制

  • 账号管理
  • 最小权限
  • 远程访问

稽核与可归责性

  • 稽核事件
  • 稽核纪录内容与储存容量
  • 稽核处理失效之响应
  • 时戳及校时
  • 稽核信息之保护

识别与鉴别

  • 内/外部使用者识/鉴别
  • 身分验证管理
  • 鉴别信息回馈
  • 加密模块

需求:特权账号、存取管理

需求:系统稽核、日志管理

需求:特权账号、存取管理、行为分析

*** 在选择解决方案之前,对于特权账号管理 v.s 堡垒机的差异,是否做过对比与了解 ***

不影响用户操作习惯,内稽内控更简单

– 作业系统:Windows、Unix、Linux

– 数据库:MSSQL、Oracle、MySQL、Sybase、MongoDB、PostgreSQL

– 服务器硬件:Dell iDRAC、HP iLO、IBM i series、IBM z/OS

– 网络設備:Cisco、Juniper、F5、Fortinet、Palo Alto

– 云服务應用:Amazon、Azure、SAP、Facebook

– 目錄服務:Active Directory、Open LDAP、RADIUS、SAML 2.0

– 其他系统:VMware ESXi

产品选择

– 品牌:One Identity / 產品名稱:SafeGuard

– 通過功能化「系統模組」提供完整解決方案,可依據具体需求选择模块来完善所需特权账号管理架构。

– Gartner 2022 年特权账号管理(PAM)魔术象限領導者区域,基于各项国际规范开发提供的標準產品,行业成功案例多。

– 密碼管理模組。

– 審核管控:使用者申請表單、E-Mail申請与覆核、支持手機APP覆核。

– 指令分級:建立特定帳號並授權高風險指令,以達分級控管功能。

– 即時稽核,支持關鍵指令限制。

– 側錄管理模組:側錄方式为透传模式,代理网关效率高,使用者不需要改變連線習慣;側錄回放可採用關鍵字進行搜尋,支持RDP影像文字辨識功能 (OCR)。 

– 稽核与报表:提供全文檢索搜尋引擎,標準 PCI DSS 或客製化稽核報告。

–  特權行為分析:提供依據使用者的過往使用習慣建立一參考模型,系統自行學習並可偵測出非正常或非原使用者的生物特徵操作。

– 技術支援度:提供全球支援服務,且支援多語系。

– 部署模式:提供物理与虚拟化架构,支持高可用性 (HA)部署。

– 安全管理:內建防火牆,開放特定端口供管理者連線。最大同时連線數 500。

– 产品整合能力:可相互整合支援包含身分管理(IDM)、存取治理(AM)與雙因素認證(2FA),並支援其他第三方軟體。

法规遵循(国际)

PCI DSS

PCI DSS(The Payment Card Industry Data Security Standard)是五家国际支付卡品牌(VISA、MasterCard、 JCB、AMEX与Discover)基于为支付卡产业保障持卡人资料安全建置的全球统一规范。为保障持卡人的数据安全,继而针对安全管理、政策、程序与方式、网络配置与软件设计等多方需求,所订定之数据安全标准。五家国际支付卡品牌均支持PCI DSS合规性规范,且致力推广使用。

所有从事持卡人数据之保管、处理、传输的机构,均须关注其组织是否符合 PCI DSS。

FIPS 140-2

联邦信息处理标准(FIPS) 发布140-2 是一种美国政府标准,定义信息技术产品加密模块最低安全性需求,如信息技术管理改革的1996法案第5131中所定义。

「 加密模块验证 」CMVP (NIST及CCCS,会验证加密模块的安全性需求)。 FIPS 140-2 的安全性需求涵盖11个与加密模块设计及实施相关的区域。 NIST Information 技术实验室会运作相关的程序,以验证模块中的 FIPS 核准的加密算法。

特权账号管理系统规格

特权账号管理系统

行为侧录管理系统

  1. 可排除共享特权帐密风险,具备基于角色的存取管理和自动化工作流程,提供自动、管控且安全的特权帐密授权程序。
  2. 提供浏览器接口并具备安全联机(HTTPS,443/TCP)方式,支持行动设备存取,以管理授权用户对其有权存取之帐户的密码请求作业。
  3. 内建工作流程机制,可制定密码申请作业流程,支持时间限制、检视者、多重核准人员、紧急存取以及政策期满的工作流程制定方式,并可输入申请理由或与工单系统直接整合;对于密码请求的处理方式可以采自动核准或多层核准程序。
  4. 提供特权帐户或系统快速搜寻功能,可发现网络上的任何特权帐户或系统,包括主机、目录和网络搜寻选项。
  5. 具备应用程序凭证管理或提供RESTful API连接其他应用程序和系统,以整合应用程序或系统帐密申请或变更需求。
  6. 系统提供各类行为查询功能,以提供所需报表信息,具备排程查询功能,并且可储存或输出相关数据。
  7. 支持Windows/UNIX/Linux操作系统、VMware等各式平台账号管理,包含:AIX、CentOS、VMware、SUSE、Red Hat、Windows、Windows Active Directory
  1. 提供单一控制集中管理机制,可以授权连接、限制特定资源存取、检视活跃联机、记录所有活动、并在联机超过预设时限时终止联机等动作,可供管理者、远程外部厂商和高风险使用者,授予适用一段特定期间或联机的特权存取,建立完整记录与检视/回放机制。
  2. 具备完整的联机稽核、记录和检视,每一个传送的封包和执行的动作,包括鼠标动作、点击和按键动作,皆需记录下来并且可供事后检视,并提供特权行为分析与主动告警功能。连接时间和内容皆具备加密签署机制,可做为鉴识和法规遵循用途。
  3. 提供代理访问机制,为所有连接目标资源的请求提供代理服务,以保护关键资产避免遭受可能潜伏在管理者计算机上的任何恶意软件威胁,可以代理并记录Unix/Linux、Windows、网络装置、防火墙、路由器等存取服务。
  4. 联机管理具指令侦测功能,可侦测目标主机上执行的指令,相关动作皆会记录,并可传送至email、snmp或syslog等各种日志。
  5. 具备支持多国语系实时影像辨识与索引功能,可搜寻操作画面中关键词,快速了解用户操作行为。
  6. 管理系统提供索引机制,针对联机记录期间执行的指令和程序可建立一个搜寻的清单,稽核人员能够快速且轻易的检视联机活动。
  7. 行为侧录管理系统可与本案需求之特权账号管理系统搭配,达成自动登入整合应用,透过自动登入不会将账户帐密暴露给使用者知道,能够强化安全性和法规遵循状态。
  8. 具备控制存取机制,只有被授权的使用者可以要求联机特定资源,或透过特定的管理账号以安全的浏览器方式联机存取;支持SSH和RDP联机通讯协议,管理者可决定启用或取消各个通讯协议选项。
  9. 授权用户要求特权联机时,提供授权工作流程机制,具备签准与检视流程,以强化访问控制与合规要求。
  10. 提供用户行为分析功能,如侦测异常特权存取活动、异常时段存取机器/设备、账号等异常状况,图形化展示风险等级与高风险账号。
  11. 使用连续录像,非屏幕单张撷取,避免操作行为遗漏。

虚拟机环境需求: (以下为最小建议规格)

  • SPP*3:Win10 Ent(LTSC) / vCPU*4 / 10GRAM / 500G HDD
  • SPS*1:Ubuntu/ vCPU*4/ 8G RAM / 500G HDD( 看录像存放需求)
  • 虚拟机平台:Esxi 6.5以上 或 Hyper-V 8.0以上

授权计算:按照实际并发用户