特權賬號管理那些事
國際權威技術分析與咨詢研究公司Gartner公司在2018年、2019年連續兩年將“特權賬號管理(PAM)”納入一年一度的“年度十大安全項目回顧”中,而且都是排名第一。那么,到底什么才是特權賬戶管理呢?
今天我們就來聊一聊特權賬戶管理方面的相關問題,包括什么是特權賬戶、特權賬戶存在哪些風險、特權賬戶有哪些特點、特權賬戶管理的難度在哪兒、特權賬戶如何管理、特權賬戶管理的核心能力是什么、特權賬戶管理與其他相關管理系統的關系等。
一、什么是特權賬戶
對于特權賬戶的理解,不同的人有不同看法。有些人認為特權賬戶就是操作系統中的root賬戶、數據庫中的DBA賬戶;有些人認為特權賬戶不應該僅包括root、DBA等超級管理員賬戶,還應包括操作系統、數據庫中的普通權限的賬戶;還有些人認為特權賬戶還應該包括其他系統設備中的管理賬戶,這里的其他系統包括網絡設備、安全設備、集中管理控制平臺(云管平臺、自動化管理平臺等)、Web管理后臺(Weblogic管理后臺、虛擬專用網設備Web管理后臺等)等。
依筆者觀點,特權賬號就是在企業運營過程中,給相關業務運營、系統管理、系統運維等人員賦予的系統維護、權限增加、數據修改刪除、導出等高級權限的系統賬戶。這些賬戶及其持有人掌握著企業的信息系統的生死大計,絕大部分時間這些賬戶都在為公司各項業務正常開展保駕護航。然而,道與魔,一念之間。惡念乍起,或者是“無意一指”,這些缺乏管控的特權賬戶可能就會給公司業務帶來滅頂之災。
判斷一個賬戶是不是特權賬戶的簡單方式就是“這個賬號做了一件具有極端破壞性的操作(包括刪除、增加權限等),會不會直接對他人、對第三方產生影響,導致他人或第三方無法工作、信息泄露等”,比如OA管理員刪除了某個用戶的OA賬號或者把所有OA賬號都刪除了,其他用戶都用不了OA系統了,你說OA管理員是不是特權賬號?再比如某個網絡管理員,登錄單位防火墻、路由器、交換機把所有的訪問策略、路由配置都刪除了,你說這個網絡管理員賬號算不算特權賬號?
有時候,特權賬號和個人賬號在表現形式上可能是一樣的,比如都是OA賬號、域賬號、LDAP統一認證賬號等,只是在不同的系統里,該賬號被賦予了不同的權限。當作為系統管理員的時候,這個賬號就具有某些特權,而成為特權賬號。比如某員工是郵件系統管理員,當它通過郵件客戶端登錄自己郵箱時,他就是普通賬號,但是,當他登錄郵件系統的管理后臺時,此時他就是特權賬號。當然,目前有些系統(據我所知,這個“有些”是“很多”)的管理后臺賬號都是通過單獨創建賬號的方式,然后將“新賬號”賬號憑證告訴某位員工,讓他成為系統管理員,這時候,該員工具有的特權賬號就是這個“賬號”,而不是他的OA賬號、域賬號等。
總的來說,筆者認為:特權賬號可分為以下兩類場景:一類是以Web業務系統為代表的業務系統及其管理后臺的特權賬號;另一類是以操作系統、數據庫、網絡設備等為代表的信息基礎設施管理后臺的特權賬號。這兩類賬號有什么區別呢?第一類特權賬號是可以和員工OA賬號或員工號保持一致,而且應該盡量保持一致,員工離職、調崗等異動可以通過刪除該員工的賬號權限而取消授權;而第二類特權則不一定,這類特權賬號以操作系統、數據庫、網絡設備運維視角設定賬號,這類賬號一旦設定,不能隨意刪除,因此,在員工離職、調崗等異動時不能通過刪除賬號來實現賬號權限回收,此時可能的辦法就是修改賬戶登錄憑證、限制登錄源IP地址等替代手段了。
針對第一類賬號,即與員工OA賬戶一致的Web類應用系統特權賬戶可以采用與企業內部的SSO與LDAP用戶數據庫對接,通過LDAP對用戶密碼進行統一管理。這不屬于本文的重點,本文主要關注第二類特權賬號的管理問題,即那些LDAP無法管理的特權賬號的管理問題。
二、特權賬戶有哪些特點
分布散。一是特權賬號散落分布在業務系統、應用程序、數據庫、網絡設備、各類應用系統、操作系統中,只要你在企業內能看到的任何一個信息系統都至少有一個特權賬號。目之所及,耳之所聞,還有你看不到聽不到的系統都包含有特權賬號。二是特權賬號的持有人分布散,他可能是在數據中心科技運維人員,也可能是企業總部業務、后勤、人力等任何一個部門的人員,還有可能是偏遠子分公司的業務運營人員等等。但總的來說,總部科技部門和業務部門應該占有絕大多數。
數量多。企業有多少個信息系統資產(軟件、硬件等)就至少有多個少個特權賬號,但是,通常情況下,一個信息系統是不可能只有一個人、一個賬戶進行管理的,因此,一個系統可能會創建多個特權賬號。據估算,特權賬號的數量可能達到企業信息系統(主機操作系統、數據庫、業務系統、管理系統等)數量的5-10倍,甚至更多。
權限大。既然叫特權賬號,肯定是具有一定特殊權限,比如增加用戶、批量下載數據、執行高權限操作、刪除核心數據等。另外,根據業務系統的重要程度,特權賬號的所具有特權的風險越大。
三、特權賬戶存在哪些風險
特權賬號保管不善,導致登錄憑證泄露、丟失,被惡意攻擊者、別有用心者獲取,然后被攻擊者利用該登錄憑證非授權訪問業務系統,進而可能導致系統數據被刪除、惡意增加管理員權限、非法下載大量數據等。特權賬戶從創建、使用、保存、注銷等全過程更是面臨較大泄露風險,比如有些特權賬戶需要進行多次流轉(從超級管理員到普通管理員傳遞),目前普遍采用郵件、微信的方式的進行傳遞,有些安全意識較高的可能還進行加密處理,有些安全意識差的或者應急場景,密碼明文傳輸更是比比皆是。攻擊者若獲取部分的賬戶、密碼可能會對企業進行大范圍的橫向擴展攻擊,導致系統遭受大面積入侵。
特權賬號持有者惡意破壞,對自身運維的信息系統進行惡意破壞,比如刪庫、格式化等操作,比如前一段時間發生的微盟員工惡意刪庫事件。2020年2月25日,微盟發布公告稱:“公司自2月23日19點起發現服務出現故障,大面積服務集群無法響應,生產環境及數據遭受嚴重破壞。經查,本次故障是由微盟核心運維人員因“個人精神、生活原因”的惡意破壞導致。微盟預計,老用戶數據將在2月28日晚上24點前方可完成數據修復。”究其原因,擁有特權賬戶權限的核心運維人員惡意破壞導致。
特權賬號持有者監守自盜,利用自身具有的特權賬號非法下載大量數據、查看他人敏感信息等。
特權賬號持有者失誤操作,人總是會犯錯誤,特別是在非常疲憊的情況下更容易操作,因特權賬號具有較高的維護權限,所作出的操作破壞性更大。比如操作系統運維人員在清理磁盤數據時,沒有看清操作路徑,使用了rm -rf *.*刪除了數據庫目錄下的所有數據文件等。
四、特權賬戶管理難點在哪兒
難以掌控企業特權賬戶的全貌。企業內存在什么特權賬戶,分布在哪兒,誰在使用這些賬戶,目前都是一筆糊涂賬,缺少長期持續自動發現、持續跟蹤的。
難以對特權賬號憑證(密碼、密鑰等)進行動態管理,如定期變更。特權賬戶數量太多,每個運維人員都需要掌握數個、數十個、甚至數百個特權賬戶,還有定期密碼更替,密碼強度等管理要求,對于管理員來說,簡直是一個災難,這就導致通用密碼、固定密碼等問題無法規避。
缺乏有效的賬戶憑證傳遞手段。A系統的特權賬戶可能不僅一個管理員在運維,還有其他四五個管理員要運維,還可能有其他下游系統的要使用這個賬戶。如果憑證變更之后不能有效的進行傳遞,則可能導致下游應用無法進行同步,而導致出現生產故障。
對特權賬戶憑證集中自動化管理的信心不足。特權賬戶集中管理之后,特權賬戶管理員自身可能就不能確定性的掌握賬戶的密碼,這種不確定性導致管理員對特權賬戶集中管理的信心嚴重不足,擔心集中管理平臺自身的風險導致信息系統整體的不可控、不可維護,引發嚴重的安全事故。
五、特權賬戶如何管理
對于一個企業安全管理者,在了解了上文關于特權賬戶的相關內容后,下一步就要關注如何進行管理?有哪些解決方案?按慣例,我們先看成熟的特權賬戶解決方案有哪些?Gartner在2018、2020年分別發布了一版特權賬戶管理魔力象限圖,圖中處于領導者象限的幾個企業包括Cyberark、BeyondTrust、Centrify等,可惜的是,一,這些企業在國內有大量業務開展的只有第一個,其他幾個還沒有什么代理機構,二,這張圖中沒有國內企業上榜。另外還有IBM、Oracle等企業也有自己特權賬戶產品。
在此說一個題外八卦,在進行特權賬戶管理解決方案調研、研究以及測試過程中,國內有幾家堡壘機廠商開始宣稱自己具有特權賬戶解決方案。這里就有一個特權賬戶廠商“鄙視鏈”。
- 國外廠商說:國內只有我們是特權賬戶解決方案,其他都是堡壘機,國內廠商所說的特權賬戶解決方案都是假的。
- 國內某廠商:我們是國內唯一特權賬戶解決方案廠商,其他都是堡壘機,不是真正的特權賬戶解決方案。
- 國內其他廠商:我們不光是堡壘機,我們也有特權賬戶解決方案。
這些都是八卦之談,那么什么才是特權賬戶管理應該的姿勢呢?在半年多來的學習、測試以及實施過程中,筆者認為特權賬號管理的整體方案應該包括賬戶集中管理、密碼管理、賬戶自動發現、訪問管理、提供密碼調用服務、流程控制、日常監控、日常審計等。
(1) 賬戶集中管理:高度分散的特權賬戶對于安全管控是不可行的,所以筆者認為,特權賬戶管理的技術防控措施主要思路是“先集中,再施加控制措施”。特權賬戶只有集中起來才能進行一些有效管理,比如實施統一的安全策略、方便審計等。賬戶散布各系統,如果不能采用某種手段對特權賬戶集中托管,顯然不適合管理。這是特權賬戶管理的第一步,需要建立一個統一平臺,能夠滿足多樣化系統的密碼托管能力。這個平臺必須具有良好的平臺兼容能力,要不然操作系統一套平臺、數據庫一套平臺,對于特權賬戶管理來說,仍然存在較大的運維和使用難度。
(2) 密碼口令管理:特權賬戶管理的核心是密碼管理,要能通過自動化手段定期對密碼進行修改、設置密碼安全策略等,使得密碼口令滿足高復雜度、一機一密、定期修改等要求;
(3) 賬戶自動發現:不管任何系統,從系統建立到銷毀過程的全生命周期中,可能會持續數年,這期間因測試需要、人員變動等原因,系統中可能建立了很多長期未使用的賬戶。這些賬戶長期缺乏維護,風險很大。因此,特權賬戶管理需要具有能夠發現一些僵尸賬戶、多余賬戶的能力;
(4) 訪問管理:這里有幾個原因要提供訪問管理功能,一是賬戶密碼被托管之后,管理員無法掌握密碼之后,集中管理系統得提供一個特權賬戶的訪問通道要不然無法對目標系統進行管理;二是管理員在對目標系統進行管理時,要能提供高危行為阻攔、二次驗證等功能。三是統一訪問控制通道后不允許再開其他網絡訪問策略,因此,業務系統管理人員需要主動來聯系對接特權賬戶集中平臺,一定程度上避免了“業務系統先上線、安全人員后被動跟進”的困境。訪問控制也是國內堡壘機廠商具有核心能力,但是,最近聽到國內某傳統堡壘機廠商的講解特權賬戶解決方案時,竟然把這一塊給省略了、弱化了,只是說可以和自家堡壘機聯動,把堡壘機和特權賬戶管理平行起來。筆者認為,堡壘機功能是特權賬號解決方案的一個子集,必須納入特權賬號解決方案的整體進行考慮,而不僅僅是聯動。
(5) 提供密碼調用服務:密碼口令托管之后,如果不能提供有效的API接口供下游系統調用,那么,特權賬戶管理平臺要對密碼進行定期修改的功能就不能實現。因此,特權賬戶管理要能為第三方系統提供API調用服務。筆者認為,這是國內堡壘機廠商被排除在PAM廠商之外的主要原因,國內堡壘機很早就具有了賬戶管理功能,能夠托管一些賬戶密碼,但是他們不具有提供API調用能力,導致他們只能修改一些不會被其他人使用的賬戶密碼,需要被其他系統使用的密碼只能保持固定不變。
6、流程控制:流程控制最重要的就是在審批流程和特權賬號使用流程進行關聯,在特權賬號的使用流程中設置關鍵控制點,如在特權賬號密碼代填方面,必須要經過審批流程批準后才能進行密碼下發和填入操作。比如特權賬號的危險操作行為,如rm -rf *.*、DROP Database等,必須要經過第二個人的復核或者增加一步驗證確認環節。在特權賬號的操作流程中增加審批和確認流程,以減少特權賬號的誤操作和惡意操作風險。
7、日常監控:通過集中的特權賬號管理平臺,不用監控分析和審計人員再去一一對接海量的業務系統,對用戶的操作行為進行識別,阻斷高危操作,如rm -rf *.*等,對用戶進行UEBA的分析,比如目標系統登錄日志出現了非統一訪問控制通道發起登錄操作,操作日志中短時間出現了大量的新建、刪除、修改、批量導出等高危操作,即可判定為異常,從而發出告警,讓管理人員進行進行應急響應。
8、日常審計:在風險管理領域,有著名的“三道防線”論,即建設、風險管理和審計。在特權賬戶管控方面,制度建設、流程建設和技術管控手段都算一道防線,運營監控應該算二道防線。定期事后審計評估安全措施是否落實到位并整改,是安全管控措施的最后一道防線。無論多么好的制度、流程、技術或運營手段,缺少適當的審計措施,都可能存在“制度落實不到位、流程流于形式,技術管控失效”等問題。
六、企業在特權賬戶管理實施過程中應該關心什么
1. 對多種平臺、系統的兼容能力
如果一個平臺雖然具有一些特權賬號管理能力,但是,只能支持一兩種平臺和系統的賬號管理,那么,它可能不能被稱為真正的特權賬號管理平臺。這也是國內堡壘機廠商被國外廠商詬病主要原因之一吧。目前,典型的特權賬號管理平臺方案支持的平臺和系統類型已經包含以下內容:
- 操作系統:支持Windows系列(本地及AD域賬號)、IBM AS 系列、Linux系列、Unix系列、Aix等
- 數據庫:支持ORACLE、SQL SERVER、SYBASE、MySQL等
- 網絡及安全設備:支持思科、華三、華為、綠盟、360、山石等廠商的交換機、路由器、IDS、網閘、防火墻、帶外管理等網絡安全設備
- 支持阿里云、騰訊云等云管理員賬號、AccessKey等特權賬號托管,并支持對這類賬號密碼自動更改。
- 支持通過底層賬號自動掃描阿里云、騰訊云已有和新增實例并安全托管賬號、自動更改賬號密碼。
在具備兼容以上已知系統能力的同時,還應具備強大的定制擴展能力,能夠快速適應飛速發展的計算機終端、操作系統、數據庫等市場。
2. 賬戶憑證(密碼)自動改密的可靠性
一個號稱具有自動改密功能的特權賬號管理平臺,如果在改密過程中老是出錯,在實驗室環境下,即便改密正確性達到99%也不行,10000個賬戶改一次錯100個,更別說復雜的數據中心環境了,對于系統管理員來說,是不可忍受的。但是,很不幸,目前沒有一個權威測評機構進行相應測試驗證,所有的可靠性都是廠商自家說辭,沒有大面積的應用是很難驗證出來的。在這兒,筆者認為可以多與其他甲方進行調研,問問別人用什么,有沒有什么坑,然后選口碑好的、應用時間長的。
3. 特權賬號平臺自身的安全性和魯棒性
平臺自身的安全性和魯棒性主要關心該方案有沒有充分考慮備份、災備切換、災難恢復、信息安全等措施。在甲方實施時,有沒有典型的部署、實施以及實踐經驗。
4. 密碼調用接口的穩定性和安全性
一方面,隨著特權賬戶管理平臺納管的目標數量越來越多,未來,將會有越來越多的系統需要調用該系統的密碼獲取接口,這個接口的穩定性至關重要,不能發生嚴重的服務不可用問題。另一方面,密碼調用接口本身要具有訪問控制、密碼安全傳輸、接口認證、防批量拉取等能力,否則的話,該平臺將可能會變成一個集中的密碼泄露通道。還要能支持不同應用的密碼獲取,比如支持應用系統源碼、配置文件(包括txt、ini等)、API接口賬號、服務賬號、計劃任務、中間件數據源密碼等
5. 橫向擴展能力
企業信息化過程中是個逐步深入的過程,隨著時間的推移,企業的信息系統數量、數據中心數量將會不斷增加,因此,一個優秀的特權賬戶管理平臺必須要具備強大的橫向擴展能力,滿足企業快速信息化過程中的特權賬戶管控要求。
七、其他可能關心的問題
1. 特權賬戶管理系統與堡壘機的關系
每一個第一次接觸特權賬戶管理的人,聽了特權賬戶管理的相關功能之后,都會有一個疑問,他和堡壘機是什么關系?在此有幾個觀點分享給讀者:一是特權賬戶管理本身就有堡壘機功能,就像前文說的,堡壘機功能是特權賬戶管理的子集,從某種意義上講,特權賬戶管理解決方案可以完全替代堡壘機方案。二是如果非要在他們之間找出什么不同,那么,我認為堡壘機核心功能是對目標主機訪問管道的控制,而特權賬戶管理核心功能是對目標主機賬戶口令的管理。三是國內堡壘機廠商在過去的解決方案中,過多的關注了訪問控制,對密碼管理、密碼API接口服務支持能力不足,的確也不能稱為特權賬戶解決方案。四是隨著時間的發展,我覺得特權賬戶解決方案的已經基本成型,就像汽車一樣,一個發動機,一副車架,四個車轱轆,一百年沒變,未來國內堡壘機廠商肯定也會朝著這個方向發展。
2. 特權賬戶管理系統與LDAP/IAM系統的關系
談到賬戶,另一個比較疑惑的問題就是特權賬戶管理系統與LDAP/IAM系統的關系,特權賬戶管理系統管理的賬戶是機器上的賬戶;而LDAP/IAM系統管理的賬戶是人的賬戶,其關系如下圖所示(圖中的特權賬戶root、dba只是示例,實際情況比這范圍大很多)。用戶使用LDAP賬戶經過雙因素認證之后登錄特權賬戶系統,特權賬戶管理系統對目標系統的特權賬戶進行納管。然后,將托管的賬戶授權給相應的LDAP賬戶管理員進行管理。
3. 特權賬戶管理系統在網絡攻防中的價值
有安全圈朋友說過,弱口令,各種弱口令,系統弱口令、應用弱口令、用戶弱口令,如果解決好了口令的問題,我認為可以解決企業至少50%的安全問題。攻擊者在進行滲透攻擊時,除了用漏洞打的,很多攻擊落腳點還是用戶賬號,通過弱密碼、通用密碼進行單點突破、橫向移動。如果有個平臺能夠實現賬戶密碼都是強密碼,而且真正是一機一密,一個賬戶一個密碼,那么,內網橫向攻擊估計就沒那么簡單了嗎?
八、結束語
從技術上看,現在市場上“特權賬號管理”的相關解決方案的確是一種比較好的特權賬號管理解決方案;但是,從甲方企業視角看特權賬號管理,他們的解決方案只是企業特權賬號管理整體解決方案的一個點或幾個點。做個類比,如果把企業安全建設看作是一個“戰略”,企業特權賬號管理一個“戰術行動”,以上公司提供的解決方案最多只能算“一場戰役或幾個戰役”。
不過這幾場戰役可能是特權賬號管理中的“重點戰役”、“核心戰役”,但是如果沒有其他“戰役”做支持,單靠這幾個戰役是很難達成“戰術目的”。甲方企業的特權賬號管理必須要從制度建設、流程控制、技術管控與監控審計等多個方面拿出整體解決方案,才能在特權賬號管理領域形成較為有效的安全管控能力,建設特權賬戶管理平臺只是一個開始。
