特权帐户存在的挑战

在过去的几十年中，计算架构、安全性方法和安全性威胁都发生了根本性的变化。但是，在那段时间里，常见的安全漏洞仍然存在：管理访问特权带来的风险。

为了履行职责，管理员需要执行软件安装、系统配置、用户权限管理、资源分配等任务所需的权限。通过这种访问，管理员几乎总是可以访问在他们管理的系统上运行的数据和服务。此外，管理员团队通常共享其管理凭据。尽管这有助于更轻松地分配工作负载，但也使得很难将特定活动分配给特定个人，从而使任何人都要对违反政策或违反政策负责。

尽管这种安全漏洞并不是什么新问题，但它对于解决这一问题变得越来越重要。近年来，一个组织所依赖的几乎所有服务器和设备与其他内部管理的系统以及外部网络和设备之间的互连越来越紧密。随着虚拟化、云服务和大数据实施的日益普及，还增加了新的管理层和管理特权，从而潜在地扩大了风险。

管理特权使许多组织面临以下威胁：

• 内部风险。恶意内部人员通常很容易滥用特权，无论是赚钱还是破坏业务。这些风险在云中变得更加严重，在云中，组织可能会受到其自身管理员以及云提供商的威胁。

• 外部攻击。管理特权是一项至关重要的资产，并且越来越成为外部攻击者的目标。例如，高级持续威胁（APT）攻击可能使用社交工程策略来获取一个管理员的凭据，并将其用作访问和利用其他系统和服务的起点。

Vormetric透明加密

防止滥用特权用户凭证

借助Vormetric透明加密（Vormetric Transparent Encryption），可以有效地防止特权用户访问的滥用。 Vormetric透明加密提供了全面、健壮和精细的控件，它们在文件系统和卷级别上运行。该解决方案具有静态数据加密，密钥管理和特权用户访问控制的功能。

Vormetric透明加密还提供详细的数据访问审核日志和功能，以将该情报与安全信息和事件管理（SIEM）系统无缝集成。通过该解决方案的集中式策略和密钥管理，客户可以跨数据库、文件和大数据节点解决安全策略和合规性要求，无论它们位于云中还是虚拟或传统基础架构中。

Vormetric透明加密提供了关键功能，可防止滥用特权用户权限

强大的数据保护

Vormetric的加密与基于策略的访问控制相结合，使特权用户可以在不暴露数据的情况下执行其工作。 日志捕获访问的详细信息，以进行智能模式分析和警报。

分离特权用户和敏感用户数据

安全管理员可以在特权管理员和数据所有者之间建立强烈的职责分离。可以对文件进行加密，同时保留其元数据。这使IT，虚拟机管理程序、云、存储和系统管理员可以执行其职责，而无需访问驻留在其管理的系统上的敏感数据。

隔离安全管理职责

可以实施强有力的职责分离策略，以确保安全管理员对数据安全活动、加密密钥或管理不具有完全控制权。另外，控制Vormetric透明加密的策略和密钥管理的Vormetric数据安全管理器（DSM）支持用于管理访问的两因素身份验证。

粒度访问控制

除了加密和密钥管理之外，该解决方案还可以实施非常精细的特权最少的用户访问策略，从而保护数据免受多阶段攻击和特权用户的滥用。可以根据用户，进程，文件类型，时间和其他参数来应用特定策略。执法选项非常详细；它们不仅可以用于控制访问明文数据的权限，还可以用于控制用户可以使用哪些文件系统命令。

安全、可靠和可审计的密钥管理

该解决方案提供了广泛的审计功能，可用于报告与密钥使用有关的所有活动，包括密钥生成、轮换、销毁、导入、到期和导出。

详细的数据访问审核日志

Vormetric透明加密提供了详细的日志，这些日志报告了进程和用户对受保护数据的访问。日志指定用户和进程何时访问数据，根据什么策略以及是否允许或拒绝访问请求。通过这些日志，管理员可以识别特权用户何时提交“切换用户”之类的命令，以试图模仿并可能利用另一用户的凭据。日志还跟踪安全管理员在DSM上执行的操作。

通过SIEM集成增强智能

与SIEM平台共享解决方案的详细日志有助于发现异常的访问模式，这可能表明正在进行攻击。例如，某个过程可能突然访问比正常情况大得多的数据量，或者管理员可能尝试未经授权地下载文件。这些事件可能指向尚未检测到的外部攻击或恶意的内部活动。该解决方案在领先的SIEM系统中预先打包了仪表板，可提供直观，即时的安全状态和趋势见解。如果检测到未经授权的访问尝试，该解决方案可以提供自动警报。

HADOOP中特权的用户访问控制

Vormetric透明加密的文件和文件夹级别的访问控制可以应用于Hadoop集群中的数据和名称节点。这些控件使Hadoop管理员和Hadoop分布式文件系统（HDFS）用户可以在数据湖环境中建立加密区域和多租户，并且每个区域可以具有自己的唯一访问策略和加密密钥。

防止容器环境中的特权用户滥用

容器技术正在为既有企业和行业颠覆者提供关键业务应用程序的动力，但像其他创新一样，数据也面临着独特的风险。 使用容器时，对于敏感数据而言，潜在的违反合规性要求，特权用户滥用和跨容器数据访问的潜在问题是关键问题。 Vormetric容器加密（Vormetric Container Security）同时支持Docker和OpenShift容器环境，为存储在容器中或从容器访问的信息添加了加密、数据访问控制和数据访问审核日志记录，可通过适当的安全控制减轻这些风险。

Vormetric云加密网关

扩展特权用户访问控制以支持Amazon S3兼容的云存储环境

Vormetric云加密网关（Vormetric Cloud Encryption Gateway）为与Amazon Simple Storage Service（S3）兼容的云存储环境中存储的数据提供加密和访问控制。该解决方案提供了基于LDAP的组访问控制，可以有效地限制组织内特权用户的访问。 此外，通过使企业安全团队能够控制加密密钥，该解决方案可以排除来自企业外部的访问，包括来自云存储提供商的特权用户的访问。

附加平台功能

Vormetric应用程序加密（Vormetric Application Encryption）、令牌化（Tokenization）和密钥管理即服务（KMAAS）为特权用户提供了额外的保护功能

Vormetric应用程序加密和Vormetric令牌化增加了根据用户角色控制访问的功能，但有所不同：开发人员可以控制使用令牌化对哪些数据进行加密或匿名化以及谁可以访问该信息。一旦实施，它不仅可以提供Vormetric透明加密和Vormetric云加密网关在文件系统级别上发现的所有保护，还可以在应用程序内提供保护。

可以基于在应用程序环境中定义的角色和用户（包括数据库或应用程序管理以及应用程序环境中的其他特权用户）来控制访问。

最后，CipherTrust Cloud Key Manager将这些控件扩展到SaaS，PaaS和IaaS环境中，管理SalesForce，Azure和其他在线环境的加密密钥，这些密钥排除了云环境特权用户对企业数据的访问。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 勒索软件制裁：有什么影响？

• 关于“欧盟-美国数据隐私框架”的问与答

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规

• 数据安全的未来是什么