文章源自技术奇点-https://www.xerer.com/archives/37866.html
齐治从多年的堡垒机、特权账号管理PAM的开发、实施和实践中总结认为,账号需要通过自动化、高效的手段,进行动态治理。而动态治理方式,应该贯穿账号的全生命周期,从创建账号开始,到账号统一纳管,再到日常维护、使用以及最后的回收,都应该采用科学、高效、自动化的方法。
文章源自技术奇点-https://www.xerer.com/archives/37866.html
账号创建的动态治理:根据权限分类 自动化完成创建文章源自技术奇点-https://www.xerer.com/archives/37866.html
运维人员大都有一个常规但是很繁琐的工作:创建账号。因为某些系统的新增、变化,或者某些人的加入、职位变更等,运维人员经常需要为资产或人创建账号。如果缺少流程规则,事情就变成了:今天来了新增账号的工单或者只是一个邮件、电话,运维人员就赶紧创建一个账号;明天来了一个同事打了声招呼说等着急用,运维人员只好停下手边的工作,先把账号的事干了再说。这样毫无规则、毫无节奏的手工创建账号会带来两个不好的后果,一则,这些新建账号成为了盲盒,创建的时候因为着急,又手工操作,经常会忽略掉创建规则、权限管理等重要问题;二则,运维人员的工作被频繁打扰成碎片。
文章源自技术奇点-https://www.xerer.com/archives/37866.html
用户如果使用了齐治的特权账号管理系统PAM,这些账号的创建就可以由系统自动完成,实现动态治理。运维人员首先需要做的是按照日常业务的特性,制定账号创建规范,以满足业务需求,这包括什么人,能创建什么类别的账号,这些账号的权限如何,审批流程又是怎样的等等。规范制定完毕后,账号创建就走入自动化的流程,哪个资产或者哪个人,需要创建新账号,按照流程在系统里申请就可以。这样,既从创建之初就将所有账号进行收敛和按规则分类管理,也通过自动化流程解放了运维人员。文章源自技术奇点-https://www.xerer.com/archives/37866.html
账号纳管的动态治理:通过API打通系统 实现全纳管文章源自技术奇点-https://www.xerer.com/archives/37866.html
数据中心中一个常见的现象是,不同团队负责维护不同系统,比如ERP、CRM这种复杂系统由几个人负责上线及日常的运维。在手工进行账号纳管的状态下,各个团队在自己的系统上线过程中,一次性创建很多账号,之后在运维过程中,可能也会陆续有新的账号创建。这些新账号,根据数量不同,定期做成一张、几张或十几张表格,交给运维人员一张张录入,进行统一纳管。
那么,问题就来了。且不说这些账号创建的时候是否符合规则,就是这些表格的手工创建、录入,难免有错误,比如某个字符录错了,某个密码少了一位等等,运维人员录入以后再一个个核验,费时费力,还容易出现纰漏。
齐治特权账号管理PAM强调账号纳管的统一动态管理。PAM通过API将账号传递渠道全部打通,各个应用、资产里形成的新账号、修改的账号等,自动按照规则传递到运维人员处,并完成自动配置工作。这样,自动化纳管所有账号,为以后的统一管理、校验、改密等全流程管理打下良好的基础。文章源自技术奇点-https://www.xerer.com/archives/37866.html
账号维护的动态治理:自动将账号分配到任务单中 管理员只需清点结果文章源自技术奇点-https://www.xerer.com/archives/37866.html
账号的日常巡检,如果是手工、静态管理,一般的流程是:运维人员建立任务单将相关账号关联起来,进行统一巡检。但是在巡检过程中,有些账号已经发生了改变,比如密码更改了,权限调整了,这个时候再手工创建任务单,对发生改变的账号再次进行管理,可是再管理过程中,又有一些其他账号发生了变化。这样就陷入一个无法走出的漩涡:用一个静态的方法,去管理动态的问题,状态一直在变化,根本找不到静态的时间点和场景。最后管理员自己都糊涂了:哪些账号维护巡检过了,哪些账号巡检过程中又发生了变化,什么任务重复执行了,什么任务因为账号变化压根已经无效,不应该再执行。
文章源自技术奇点-https://www.xerer.com/archives/37866.html
齐治特权账号管理PAM在实际应用中,坚持对账号维护进行动态治理。换句话说,所有账号纳管进PAM之后,PAM自动将新增或有更改的账号分配到相应的管理任务中,无需手工干预及调整。管理员每天按时对任务执行结果进行清点即可。文章源自技术奇点-https://www.xerer.com/archives/37866.html
账号使用的动态治理:配置动态授权规则 自动授权文章源自技术奇点-https://www.xerer.com/archives/37866.html
账号创建、管理起来,最终是要使用的。在使用过程中,要首先对账号进行授权,不允许它做授权之外的事情。系统及资产使用的账号,齐治PAM采用内嵌账号管理的方式进行调用,而人使用的账号则直接管理。
一般来说,机用账号,因为绑定具体业务系统,相对稳定,鉴权规则和方式也比较固定,静态管理还算可行。但是,人的授权就比较复杂。人的需求是变动的,权限要求也更多且容易变化,需要次次审核和授权。所以PAM会通过动态授权、变更工单、API等多种途径,满足动态申请、自动授权的场景。
账号回收的动态治理:统计和分析账号 自动锁定和删除文章源自技术奇点-https://www.xerer.com/archives/37866.html
账号都是有生命周期的。人的流动,业务的迭代,都会累计很多过期、无用的账号,就需要运维人员进行清理。在静态管理的环境下,运维人员最难做的事情是找到这些账号,比如在上万甚至几十万账号里查找一年都没有用过的账号,再挨个进行辨别;或者查询已经离岗的人对应的账号。一旦明确这些账号是谁,在哪里之后,再手工进行回收和清理。
账号回收的动态治理,就是齐治特权账号管理PAM管理账号的一部分。PAM通过对账号使用数据进行统计和分析,帮助运维人员定位出长久不用的僵尸账号、幽灵账号,自动化进行锁定和删除工作。
对于日益庞大、复杂的数据中心来说,账号的统一、动态、全生命周期、自动化管理,是避免账号漏洞、解放运维管理人员的最佳路径。齐治特权账号管理PAM在多年的成功应用实践中,总结出了账号全生命周期动态管理的方法,并加以实践。在某银行案例中,PAM成功管理96万+账号,实现了账号高效、有序管理。
