|
此文章由 gifox 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 gifox 所有!转贴必须注明作者、出处和本声明,并保持内容完整
本帖最后由 gifox 于 2018-7-27 22:22 编辑
最后一部分。
商业应用篇。这个就泛泛而谈了,不涉及太多细节了。也不针对某一家的产品,而是很多产品的共性。
1楼说的是低价甚至免费的解决方案。商业自然不可以这样,澳大利亚基本大银行都上了账户安保产品,世界500强至少300多用了。余下的100多我没有研究过。说不定也有。这些解决方案动不动就10万过百万乃至数百万美金的价格。自然不能和免费软件一样。在整个网路安保的生态里面,密码保护只是其中的一个部分。毕竟你的网页设计的很烂,人家不用密码,直接可以注入式破解掉。那么密码保护也是没用的。所以大公司,网路安保的复杂程度还有预算都是很厉害的。
一般来说商用会多了一些什么功能呢?随便说一些。
1 一次性密码,就是说在一些高度敏感的账户里面,密码都是用完一次就换掉的。
以前一个管理员在不同的系统下,随时拥有10几个高权限账户。当人离开了公司,经常这些高权限账户都不能得到有效的处理。江湖传说有人心血来潮,离职以后10个月试试自己的管理账户,还能登入劳动局的网路....
现在有了一次性密码系统,系统管理员自己也不知道密码是什么。所以在账户安全管理上可以说进了一大步。
2 全程监控。基本上整个登陆过程都被监控了。所以命令都会被记录下来。
举个例子把,你要通过密码管理软件去登录微软的云管理账户。以前是你直接登录。现在是你必须先登录到密码管理软件,密码管理软件帮你把密码和用户名注入到azure portal,你自己连密码是什么都不知道。你的所有操作都被监控。随时发现异常可以马上断掉链接。
3 智能分析,上面说到了命令了都会被记录, 谁,从那个地方登陆登陆,干了些什么一清二楚。记录下来的数据会送到SIEM系统, 进行安保分析。注意这里的SIEM是另外一套系统,又是花钱的地方了。
4 定期轮换里面,类似一次性密码,不过没有那么夸张,就是按照规定定期自动更换一遍。
5 更加强大的 密码库。 密码管理软件的核心是密码库。到了商用领域,密码库服务器要强很多了。基本上不用的端口和服务全部堵上了。也不放在domain里面。只有特定的密码管理软件可以进行存储。
6 流程管理。以前系统管理员基本上是有最高权限。现在不行了,要干什么,什么时候干要想上级批准。生成一个ticket, 只有持有这个ticket才能在规定时间和对象内使用真个密码。用完了以后。 这里会涉及到和serviceNow之类的ticket管理系统的融合。 如果启用了一次性密码会马上更换。
7 DR 和HA , LB 这概念在IT领域就很普遍了。做IT 接触到硬件的都懂,我就不解释了。
8 终极master key恢复功能。对于一个公司来说,既然密码库那么重要。一旦丢了管理密码问题就很大。所以商业系统一般会有一个终结账户,再配合一个复杂的算法来重制恢复最高权限账户master账户的密码。一般这个算法是高度机密,而master账户平时也是不被使用,这套机制不到万不得已不启动。而个人软件一般就没有这个功能了。
9...不断进化中,除了以上这些普遍的功能,各家还会有自己特色,每过几年又会多一些新功能。而且就算你学会了整个密码管理软件的每一个细节,这也不过是网路安保的一个部件。我就从来没有看到人可以收集器灭霸的5个宝石,把网路安保的每一个领域都精通...
|
|