【案例】某证券公司——特权账号VPC模式规模化部署

●实施时间

开始时间：2021年3月18日

截止时间：2021年7月1日

该证券公司的数据中心生产环境中，有虚拟化平台，私有云平台，公有云平台及IDC机房的物理设备，客户的这些平台中有主机系统、网络设备、数据库设备、B/S应用及各种C/S应用等系统，这些应用系统的账号密码没有进行统一管控，存在以下典型问题：

1、各类系统中可能存在弱密码账号；

2、因各类系统没有进行统一管控，故有存在僵尸账号，幽灵账号的隐藏风险；

3、各类系统的特权账号和普通账号的账号密码都流散于普通用户手中，无法进行账号密码回收及进行统一定期的密码修改。

随着用户体验的不断提高，以及内部对运维安全管理的要求越来越重视，如何提升运维安全管理效率，已成为现阶段运维安全管理面临的巨大挑战。针对客户环境中现存的问题，特权账号管理系统可以提供完美的解决方案。特权账号管理系统采用多站点的部署，可以纳管客户生产环境中所有平台的系统，并为纳管的设备提供账号发现、账号巡检、账号改密等功能，回收用户手中的密码，由平台集中管控，提升运维工作的效率，方便高效，同时也解放了人力投入。

由于该证券公司的环境中运维平台种类繁多，各类操作系统及应用非常丰富，故存在以下挑战：

1、方案规划：根据客户的运维平台，要合理规划部署方案，特权账号管理系统部署后要能纳管所有平台的系统及应用，并能做到所有的提供及应用进行账号发现，账号巡检及账号改密等操作。

2、部署工作：根据客户方的环境，规划好部署方案后，进行部署工作。因客户方提供的部署平台是OpenStack私有云平台，且提供安装特权账号管理系统的基线操作系统也有要求，必须要Redhat7.7的定制操作系统，故进行特权账号管理系统的安装就不能用通用的安装方式，要基于客户提供的基线操作系统来进行适配安装，并且要保证在安装特权账号管理系统的各个功能都可以正常使用。

3、资源收集：因客户方的企业内部的组织架构比较庞大，特权账号管理系统的搭建要让客户内部的所有部门的管理员都能够通过特权账号管理系统管理本部门的系统及应用，故协调对各个部门的管理员配合我方进行纳管资源的收集及进行账号发现、账号巡检和账号改密工作是一项持久并且艰难的工作。

4、改密工作：特权账号管理系统的一个最主要的功能就是改密，该证券公司的系统及应用种类多并且繁杂，包括主机系统（Windows系统、Redhat系统、AIX系统、Centos系统等）、网络设备（华为设备、华三设备、思科设备等）、数据库设备（Oracle数据库、MySQL数据库、SQLServer数据库、DB2数据库等）、B/S应用及C/S应用等均需要通过特权账号管理系统改密，此些设备的改密，均需要现场适配Python改密脚本，工作量大并且特别考验交付人员的技术功底及项目交付的成果。

特权账号安全管理系统（以下简称PAM）可实现对操作系统、网络设备、数据库、中间件上账号的自动化采集、账号巡检、密码变更及异常账号的威胁影响范围展示，帮助用户规范系统账号管理，降低系统账号安全风险。

方案采用三层架构设计

数据采集层：通过远程协议、API等方式，自动到服务器、网络设备、数据库、中间件上采集到各种与账号相关的数据。

数据分析层：采用大数据分析、机器学习、数据挖掘等技术，对采集到的账号数据进行智能化分析，进而找到各种风险或异常。

数据应用层：通过可视化的手段来呈现账号管理方面的异常，并提供自动化、流程化的通道来快速处理异常，满足相关合规要求。

包含三个核心组件：

一、 账号安全分析组件

1. 账号自动发现

系统通过手动或自动的方式触发账号探测策略，采用预设的特权账号批量连接待测资源。当检测到账号状态变更时，如服务器中新增特权账号或原已有账号缺失等情况，系统将以工单流的方式交由对应资产责任人确认。责任人可通过工单流获悉相应资源中变更的特权账号情况，对其确认后此类账号信息将自动托管至账号管理系统中。

通过特权账号自动化探测实现账号的集中统计管理，帮助用户解决账号统计难、变更管理难的问题。

2. 异常账号分析

通过账号巡检功能，可发下如下异常账号信息：

空密码：未托管密码的账号。

弱密码：对密码进行弱密码规则匹配，或者对比弱密码库。

僵尸账号：超过三个月未使用过的账号。

幽灵账号：新增系统账号类别。

网络异常：无法正常连接到该设备。

账号异常：该账号密码无法正常登录到系统。

三个月未改密：该账号密码超过三个月未更改。

权限变更：该账号权限发生变更。

账号安全及风险巡检，实现对数据中心中各类系统账号的合规性检测，帮助管理员及时发现潜在的风险账号，规避运维管理风险。

3. 密码安全管理

密码安全管理源设备系统账号自动改密、密码拨测以及历史密码回退等功能，以满足用户对账号密码管理的安全要求。

自动改密：系统支持对主机、网络设备、数据库、中间件等各类资源作为运维管理用途系统账号（并非内置代码、脚本文件、配置文件等场景的涉及的应用账号）密码的变更操作。用户可通过改密计划预设密码变更周期、密码复杂度及密码变更范围等信息，采用手动或自动化方式触发改密计划对指定资源账号进行改密操作。

密码拨测：支持手动或自动化的方式验证特权账号密码的连通性。

历史密码：针对系统中各类密码变更操作，无论是人为修改还是改密计划自动执行的操作，均支持节点留痕功能，管理员可在任意密码备份节点处进行密码回退操作。

4. 密码工单管理

密码工单为用户提供了一种密码动态维护的管理模式，当用户需要获知服务器系统账号密码时，可通过系统web页面申请相应账号密码的临时应用权限，工单经管理员审批后，系统将相应服务器账号密码临时分发给相应用户，当密码过期后，系统会自动遵循已有的改密计划对相应账号密码进行改密操作。

通过“一次一密”的自动化管理模式，规避因人工分发密码，未及时回收导致的密码泄露风险，提高特权账号安全等级。

5. 生命周期管理

账号集中化管理功能，可详细记录相应账号从创建至删除的一系列变更操作。同时系统引入自动化管理手段，采用工单流的模式实现对特权账号创建、变更、修改、锁定、删除进行统一维护，统一管控。

二、 应用内嵌账号同步组件

应用层密码同步功能，实现对内置应用程序中的系统账号密码进行定期密码更新，解决内置明文账号密码带来的安全风险问题：

代码程序：C/C++、JAVA、Python、PHP等所有主流代码内置明文账号密码场景。

中间件：Weblogic、Websphere、Jboss、Tomcat等中间件数据源明文账号密码场景。

数据库：DBLink等场景。

配置文件：账号密码明文写入配置文件场景。

计划任务：脚本任务、windows计划任务内置明文账号密码场景。

其他场景：其他内置明文账号密码的场景。

PAM提供标准的Restful API接口，可通过该接口获取相应的账号密码，实现第三方系统自动获取账号密码，比如漏洞扫描系统、基线检查工具、Ansible自动化平台等第三方业务系统，通过API方式无需再提供明文账号密码给第三方业务系统，降低密码泄露的风险。

三、 隔离网管理组件

对于纳管在PAM上的资产，当执行改密、巡检等操作时，都需要与PAM所在的网络直接进行对接。但当用户的资产部署在不同的网络环境，且这些网络环境互相隔离时，PAM如部署在其中一个网络环境，就无法对其他网络环境的资产进行账号巡检、改密等操作。因此PAM支持在不同的网络环境中，配置不同的Worker节点，通过这些Worker节点直连访问资产，从而满足了该证券公司对私有网段的资产集中进行账号巡检、改密等管理要求。

环境搭建

在该证券公司的这个项目中单纯的HA方案通常只能部署在相同网段，导致其不能跨地域部署，使用PAM的多站点部署模式后实现配置同步，功能上允许跨网段的多套PAM站点之间同步配置，从而解决了跨地域的高可用问题。

本项目所提供的两台PAM-Manager节点为OpenStack私有云平台云主机部署、五台Worker节点为OpenStack私有云平台云主机部署及两台Appmgr节点为OpenStack私有云平台云主机部署。部署条件是PAM-Manager节点到被管理设备的IP可达，协议互通、Worker节点到被管理设备的IP可达，协议互通和Appmgr节点到被管理设备的IP可达，协议互通。

部署方案架构图如下：

PAM-Manager-HA双机模式：热备。正常情况下，业务流量只经过主机，并定期将数据备份至备机。当主机发生故障时，进行主从切换，由备机来处理业务流量，从而确保业务的连续性。

PAM-Manager负责：

任务调度：账号发现，账号巡检，账号改密，密码备份，密码工单等自动化任务的调度和队列维护工作。

配置管理：用户，资产，账号，密码，任务，系统配置等管理工作。

web服务：前端页面，API服务。

状态监控：服务组件，HA状态，worker状态等所有组件服务状态监控和报警工作。

worker管理：负责worker的配置，安全控制工作。

Worker为无状态节点，负责：

执行manager推送过来的任务，包括：账号发现，账号巡检，账号改密。

worker本地不存储任何数据。

manager在向worker推送任务前会检查worker状态，只会将任务推送给活动并且空闲的worker。

Appmgr为免Agent技术组件和多层可用性保障的应用内嵌账号管理组件，当应用通过SDK或API查询密码时，可以访问远端的AppMgr从而获取账号密码信息，通过无侵入的方式帮助用户解决又来已久的应用配置文件、中间件数据源中的静态明文账号密码无法管理、不敢管理但又必须管理的窘迫现状。

1、 通过一站式密码管理解决方案，支持定期自动改密，帮助用户实现弱口令占有率从超过50%下降至不到1%，保证密码管理安全合规性要求落地。

2、 通过多Worker部署方案，帮助用户解决了跨网络环境账号密码的自动梳理、变化探测、威胁感知等账号安全风险相关的管理行为难落地的问题，进一步打造出了自动、集中、闭环化的账号治理体系。

3、 通过使用PAM中可扩展的多Worker部署模式，加上高性能及高可靠改密组件实现一小时内10000个账号100%改密成功率的保障，解决了海量账号高并发改密的难题，并且满足了该证券公司未来三年账号规模增长的可持续性发展需求。

●齐治科技

齐治科技成立于2005年，是数据中心安全管理领域的领军企业，依托于对行业前瞻性需求的深刻理解、卓越的创新能力和丰富的技术积累，公司面向数据中心运维安全、账号安全和资产安全三大领域建立了完整的产品体系，其产品和服务广泛应用于金融、电力、政府、互联网等行业超过2500家客户。

●某证券公司

该证券公司是国内最早、综合实力最强的证券公司之一，业务涵盖证券期货经纪、投行、自营、资产管理、私募股权投资、融资租赁、境外银行等，其中经纪、投行和资管等传统业务居行业前茅，融资融券、股指期货和PE投资等创新业务领先行业。