4月11日,汉领信息全国渠道合作伙伴大会在杭州举行。

从2005年,发明并专注堡垒机的帕拉迪,到2018聚焦IAM(身份访问管理)的汉领信息,“不跟风、不浮躁、不盲从” 的产品基因仍是这家14年安全企业的重要内涵。

安全问题,不只是技术,更多的是历史原因,人性的弱点,还有成本。要把安全与管理,融到一起做。

——汉领信息总经理陈云

对上面这段话,陈云的解读是,人性的弱点指的是弱口令,讲的是对账号、权限的管控;出于成本考虑,至少要对企业的心脏——数据库,做针对性防护;针对企业数据中心,要在保障运维低成本、灵活、稳定的前提下保证安全,同时大量的日志数据,可以用来做分析,辅助运维和安全工作的管理和自动化。这是陈云想的四个方向。这四个方向,从品牌角度来看,只有堡垒机还留在帕拉迪,剩下的IAM、数据库安全、日志分析都在汉领。

今年下半年,帕拉迪将正式成为汉领的全资子公司。

不难看出,主打IAM的汉领将成为陈云之后的重要战略方向,是未来。

但有意思的是,对于汉领而言,堡垒机目前还不是过去。汉领认为,堡垒机将会发展为独立与数据中心、以账号为中心的统一安全管理平台。更重要的是,堡垒机还要能与自动化运维平台、自动化设备打通,成为一切对数据中心资产访问行为的必经通道。

基于此,在此次大会上,除了沟通其渠道和销售战略外,汉领还发布了一个重要的产品-下一代堡垒机(PAM),以满足自动化运维时代,企业数据中心对账号管理和通道控制的需求。

构建数据中心的特权账号“银行”

汉领信息技术总监王枫表示,传统堡垒机面临的问题,以及堡垒机在数据中心定位的改变,是此次发布下一代堡垒机的重要原因。

总的来看,传统堡垒机面临以下困境:

  • 无法支持大并发和集群扩展;

  • 无法支持自动化平台特权账号的使用,无法配合ITSM(IT服务管理)、CDMB(配置管理数据库)等系统的流程化运维;

  • 无法支持移动端的运维和权限控制;

  • 无法支持可视化授权;

  • 无法自动收集账户信息。

汉领信息认为,下一代堡垒机,即特权账户管理中心,要成为数据中心的 “特权身份银行”,就必须实现通过可编程的API对接自动化运维平台,保证其对资产访问权限的调用;同时,针对特权账号安全,可以进行主动安全评估,以及便捷的管理;再结合数据上传/下载通道的管控,实现安全闭环。

作为传统堡垒机的开创者,从技术层面,王枫认为,汉领的重要优势或门槛有两点,一是堡垒机产品本身的成熟稳定,这点在对超大集群部署的能力中就有体现。

我们银行的客户很多,他们非常看重堡垒机的可靠性。

第二点,就是堡垒机本身的安全。

据王枫介绍,汉领信息的堡垒机是多家ICT大厂OEM的首选,特别是出口海外市场。不仅是因为其性能和能力,在安全层面,汉领也下足了功夫。

国外市场对堡垒机本身的安全性尤其重视,当初,在产品的安全加固就用了我们一年半的研发精力。我们支持8-10种身份认证模式。同时,我们将堡垒机看作一个后端应用,所以有一整套的安全加强方案,包括针对堡垒机的WAF,可以实现参数和url的白名单,以及针对堡垒机数据库的安全监测系统。

无论是成熟稳定,还是安全性,这些都是开源堡垒难以短时间实现的。

堡垒机不会做运维自动化,那不是我们熟悉的领域。但是对于现在大热的自动化运维平台,客户高层也是持不信任态度的,所以从客户层面就会乐于推动这些平台和堡垒机的对接。统一的账户安全体系,特别是已经在用堡垒机的客户,这是一层重要安全保障。

此外,对于堡垒机和IAM的关系,王枫认为,堡垒机受运维协议的带宽限制,更关注运维人员的访问,而IAM是囊括所以业务线的身份体系,可以说堡垒机是IAM的一个子模块。但堡垒机对身份、权限的管控,以及访问行为的审计和监测(也正是4A的内容),追溯到自然人的能力,可以扩展的更大。这个需求也是确实存在的。

目前,我们IAM方案的客户政府机构居多。比如社保局、区政府等。虽然他们的身份建设滞后,有大量的老旧系统,但我们的IAM方案是外挂式,不需要和这些系统开发对接,同时自身又有安全属性,还有很多场景功能开关可供选择,所以非常适合他们。

安全牛评

堡垒机已经是非常成熟的产品,但是目前的痛点和客户的需求方向也很清晰。作为国内堡垒机品牌领头羊,更契合客户对自动化和移动化运维的需求场景及趋势,更好的完成从堡垒机到IAM的过渡使命,是汉领此次发布“下一代堡垒机”的两个重要意义。从品牌策略来看,也是对应且明确的。帕拉迪已经成为国内堡垒机的重要品牌,结合国内重要的合规市场需求,这点很难丢弃,但是除此以外,围绕数据库和身份而不局限在特权账号,IAM才是更广阔的未来。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。