一、缘起:成熟的客户知道自己需要什么
特权账号管理系统应具备在不依赖agent的情况下,自动对目标资产进行账号信息采集、账号风险分析、账号自动改密等基本功能,进而帮助安全团队快速建立起账号台账,确保“家底清、数据明”; 特权账号管理系统应具备在不依赖agent的情况下,帮助用户实现应用内嵌账号治理,确保账号密码不静态驻留在应用配置文件中,杜绝违规/恶意拿到该账号密码进而访问目标服务器、数据库的可能; 应用内嵌账号治理,要能覆盖到客户的所有业务场景,包含传统应用、spring框架应用、微服务化应用等,规避“木桶效应”。
特权账号管理系统是个跨界的系统,其建设过程需要客户安全部门、运维部门和开发部门的共同参与,否则交付起来举步维艰; 特权账号管理系统势必会对传统的应用开发(账号密码硬编码方面)产生影响,需要公司由上到下达成共识,借特权账号管理系统建设来规范应用开发,由此形成后续开发标准; 特权账号管理系统不能成为一个数据孤岛,其管理的账号数据是通往企业数据中心的一把把钥匙,而需要使用该钥匙的第三方系统(如堡垒机、自动化平台等),都需要通过安全可信的方式(严格的身份验证、权限控制及加密保护)来获取到账号密码。
二、逐梦:成熟的客户,唯以专业与成熟方能不辜负
项目自进入POC阶段开始,已经进入了我们产品的预交付流程。因为客户的需求相对复杂,所以我们甫一开始就联合了研发、售前和售后团队的几位专家成立了项目保障团队,确立了三点项目测试和预交付的要求:
以客户业务为中心。特权账号的交付其实更多是项目的管理,需要客户参与并确定管理,而我们提供产品、技术以及更多的培训、演示和答疑; 以客户职责为中心。齐治售前专家与客户的安全部门对接,及时梳理和反馈需求进展,进行功能POC验证;齐治的售后专家与研发专家与客户的运维部门和开发部门对接,完成内嵌账号治理联调、第三方系统对接联调; 以自身产品为中心。根据客户实际业务场景,倒逼产品研发,紧紧贴合客户需求,完善产品的功能框架细节。
三、淬炼:特权账号管理系统交付的经验心得
特权账号管理系统,有别于传统的安全产品、是一个与第三方高度交互的系统,其交付过程存在周期长、涉及部门多、衍生需求多的特点。我们的交付团队拥有重大类似项目的交付经验,在本次项目交付过程中再次得到了验证和淬炼。总结来说,八个字即可概括:一个共识、三个持续,即:
客户的项目团队、开发团队要达成共识:通过特权账号管理系统来形成账号管理规范和应用硬编码账号设计标准; 厂商交付团队要有明确的项目经理并由其来制订严谨的交付计划,与客户的相关部门(一般指安全部门、运维部门、开发部门)主动建立持续、高频的沟通汇报,及时通报项目进展及所遇到的问题,确保交付顺利; 厂商交付团队的项目经理要持续地向上管理,反向追踪公司内部对客户每个新需求的开发进展,将需求内容、开发方案、设计原型图技术与客户相关部门沟通确认,确保交付内容无偏差;同时,对于客户提出的需求或想法予以积极地分析和引导(引导一词的含义是不能一味地满足客户所有的需求),当然,如果客户提出的需求是合理、有价值且我们还没有实现的,我们也会推动产品团队排期满足; 厂商交付团队的交付专家要持续的培训客户,将产品的功能原理、应用场景、最佳配置实践、风险规避措施等内容,向参与项目交付的客户人员进行知识传递,以便让用户能深入了解产品,及时将产品功能带入到应用场景,确保未来使用不出问题。
四、致远:每个客户的成功让我们积跬步至千里
自2016年,齐治的特权账号管理产品面世开始,历经了5年征程和各种复杂环境的验证考验,我们帮助了500多家高端行业客户走向了成功,同时也在一个个项目中,根据客户的需求,将自己的特权账号管理产品打造成了行业内独树一帜的旗帜,填补了多个长久以来在特权账号管理领域的空白,避免客户走上骑虎难下的囧途,尤其是下面几个方面(既是来自于某客户的总结,也是特权账号管理项目常遇的技术坑/缺陷):
作者介绍
薛斌,齐治科技华南技术总监,运维安全管理领域资深专家,拥有13 年项目实战经验,擅长为中大型规模客户提供专业的解决方案和交付咨询。
RECOMMEND
往期回顾
关于 安全村文集·科技创新型企业专刊
关于 安全村
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:[email protected]
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...