4月(yuè)11日，在2019年(nián)帕拉迪全國(guó)渠道合作夥伴大會(huì)上(shàng)，帕拉迪總經理陳雲宣布帕拉迪下(xià)一(yī)代堡壘機(jī)(PAM)正式發布，以滿足自(zì)動化運維時代，企業(yè)數據中心對賬号管理和通(tōng)道控制的需求，為(wèi)企業(yè)安全智能(néng)運維賦能(néng)。

不熟悉帕拉迪和帕拉迪的人也許會(huì)問：為(wèi)什麽帕拉迪的大會(huì)，發布的是帕拉迪的産品?答案就(jiù)是，帕拉迪和帕拉迪本是同源。2005年(nián)，陳雲成立杭州樂桦網絡科技有限公司，并在當年(nián)發布了堡壘機(jī)。2015年(nián)，陳雲意識到(dào)用戶真正需要的是IAM(Identity and Access Management 即身份認證與訪問安全管理)，于是又(yòu)創立了專注于數據庫應用安全領域的杭州樂桦網絡科技有限公司。

陳雲認為(wèi)，網絡安全有三個(gè)“癌症”：安全漏洞、人性的弱點和數據庫安全問題。對抗網絡安全“癌症”需要以用戶的問題為(wèi)導向，從(cóng)三個(gè)方向出發：防護效果、解決安全風險帶來的時延問題、保證用戶業(yè)務系統的穩定。“安全并不僅僅是技(jì)術(shù)原因，更多(duō)的是來源于曆史原因和管理原因，要把這些原因統一(yī)考慮，必須把安全和管理融為(wèi)一(yī)體來做。”

也正是出于這樣的考慮，帕拉迪重在安全管理，持續專注于數據庫安全、體系安全、日志(zhì)大數據分析三大方向。而作為(wèi)安全管理的一(yī)個(gè)重要角色，IAM的一(yī)個(gè)重要子模塊，堡壘機(jī)将仍舊(jiù)由帕拉迪繼續深耕。“今年(nián)下(xià)半年(nián)，帕拉迪将正式成為(wèi)帕拉迪的全資子公司。”陳雲在演講中還(hái)宣布。

那麽，什麽是下(xià)一(yī)代堡壘機(jī)?下(xià)一(yī)代堡壘機(jī)具有哪些能(néng)力?帕拉迪下(xià)一(yī)代堡壘機(jī)PAM又(yòu)添加了哪些新的元素呢(ne)?

新時代需要新的堡壘機(jī)

随著(zhe)IT技(jì)術(shù)的不斷發展，數據中心一(yī)直在不斷演進。在主機(jī)層面，從(cóng)傳統物(wù)理服務器(qì)到(dào)虛拟機(jī)，到(dào)到(dào)微服務架構;在網絡層面，從(cóng)傳統網絡到(dào)現在的SDNS;在存儲層面，從(cóng)倉儲到(dào)數據湖(hú);在數據中心的運維層面，從(cóng)人工(gōng)運維到(dào)現在IT運維自(zì)動化，開(kāi)發自(zì)動化，DevOps和AIOps等等概念的出現，使得現有的傳統堡壘機(jī)無法适應這些IT基礎架構的變化，無法滿足用戶的安全需求，新時代需要新的堡壘機(jī)。

對此，帕拉迪技(jì)術(shù)總監王楓也表示，堡壘街亟需變革升級。曆經多(duō)年(nián)發展，雖然堡壘機(jī)已形成了較為(wèi)完善的賬号管理、權限管理和審計體系，但是依舊(jiù)存在諸多(duō)缺陷：

一(yī)是，單台設備無法支持多(duō)用戶大并發問題，無法支持集群擴展。

二是，管理不方便，授權需要添加策略，無法可視化授權，即點擊及實現授權，人資産分别以樹狀呈現。

三是，訪問終端局限，移動物(wù)聯網時代，無法支持手機(jī)運維及對數據中心資産及權限的實時掌控。

四是，無法自(zì)動收集賬号，當目标資産賬号變動時，堡壘機(jī)無法知曉和響應。

五是，無法支持自(zì)動化平台的特權賬号使用，自(zì)動化平台的運維行為(wèi)成了法外之地。

六是，無法與ITSM、CMDB、DevOps、網管平台等系統聯動配合流程化運維。

下(xià)一(yī)代堡壘機(jī)是什麽樣的呢(ne)?

該如何解決以上(shàng)難題，滿足未來數據中心的安全管理需求呢(ne)?下(xià)一(yī)代堡壘機(jī)應運而生(shēng)。

“所謂的下(xià)一(yī)代，更形象來講是新一(yī)代，新一(yī)代堡壘機(jī)針對新一(yī)代數據中心的新需求，滿足現有IT基礎架構。”帕拉迪技(jì)術(shù)總監王楓認為(wèi)，下(xià)一(yī)代堡壘機(jī)強調特權賬号管理中心，并且需要具備以下(xià)六大屬性，才能(néng)稱為(wèi)下(xià)一(yī)代堡壘機(jī)。

屬性一(yī)：提供可編程環境通(tōng)道。可進行自(zì)動化程序穿透，通(tōng)過API接口，讓運維自(zì)動化不再是法外之地，整個(gè)自(zì)動化過程可管理可審計。

屬性二：支持高(gāo)可靠的集群和分布式部署。數據中心體量越來越大，相(xiàng)應的堡壘機(jī)也需要與之相(xiàng)适應，需要支持任意環境下(xià)的集群和分布式部署。

屬性三：支持移動管理和運維BYOD。移動互聯時代，移動管理和運維逐漸成為(wèi)剛需，下(xià)一(yī)代堡壘機(jī)PAM可通(tōng)過專用App從(cóng)管理者和運維者角度進行多(duō)方位管理和操作。

屬性四：數據安全控制。數據安全是企業(yè)關注的核心，要在運維過程中解決數據的未授權拷貝及外洩問題。

屬性五：賬号安全管理。對服務器(qì)和網絡中的各種賬号都能(néng)一(yī)鍵收集，并對其狀态一(yī)目了然，并做到(dào)最全單點登錄。

屬性六：高(gāo)體驗，高(gāo)便捷。對賬号權限可自(zì)定義管理，支持多(duō)浏覽器(qì)，為(wèi)客戶提供可視化權限矩陣展示，提供一(yī)站式安全設置等。

王楓表示：“堡壘機(jī)的重要程度高(gāo)于網絡防火牆。它管理所有權限，是高(gāo)頻的安全設備，使用便捷且支持各種應用環境，并且其自(zì)身安全性也極為(wèi)重要。好的下(xià)一(yī)代堡壘機(jī)要成熟穩定、安全可靠、技(jì)術(shù)先進。”

為(wèi)企業(yè)安全智能(néng)運維賦能(néng)，帕拉迪下(xià)一(yī)代堡壘機(jī)PAM發布

那麽，帕拉迪的下(xià)一(yī)代堡壘機(jī)PAM囊括了哪些功能(néng)?又(yòu)添加了哪些新的元素呢(ne)?

王楓告訴記者，帕拉迪下(xià)一(yī)代堡壘機(jī)PAM不僅具有傳統堡壘機(jī)的全部功能(néng)，比如：單點登錄、多(duō)因素身份鑒别技(jì)術(shù)、OCR标題識别技(jì)術(shù)、數據同步技(jì)術(shù)以及RemoteApp無縫應用等。“還(hái)将為(wèi)數據中心基礎設施提供統一(yī)的、獨立的帳号管理及通(tōng)道控制服務，數據中心基礎設施可編程，至此，SDN、SDS、ITSM、CMDB、自(zì)動化運維、各網管軟件(jiàn)等，将可通(tōng)過下(xià)一(yī)代堡壘機(jī)對數據中心基礎設施進行編程，實現控制閉環及AI處理。”

王楓以金融行業(yè)應用為(wèi)例解釋說，随著(zhe)電(diàn)子銀(yín)行業(yè)務的蓬勃發展，現在很多(duō)的銀(yín)行IT架構投入的人力物(wù)力在增加，引入各種自(zì)動化技(jì)術(shù)，通(tōng)過自(zì)動化提高(gāo)工(gōng)作效率。而與此同時，安全風險也悄然而至，自(zì)動化變成了安全漏洞點。自(zì)動化平台為(wèi)了提供便捷交付業(yè)務而生(shēng)，卻沒有更多(duō)的防護措施，因此變成了不透明的黑(hēi)盒子，比如腳本是否被惡意利用，自(zì)動化平台外不得而知。一(yī)旦出現問題，管理員(yuán)很難把自(zì)動化平台權限快速收回終止業(yè)務。而通(tōng)過下(xià)一(yī)代堡壘機(jī)，管理員(yuán)可以一(yī)鍵收回權限，切斷不安全的通(tōng)信，然後進行适當的人工(gōng)幹預。

除此以外，在本次大會(huì)上(shàng)，王楓還(hái)對數據中心數據安全縱深防方案、數據庫全生(shēng)命周期安全解決方案，進行了詳細的解讀(dú)，分析了馬上(shàng)要發布實施的等級保護2.0的相(xiàng)關要求，給出了相(xiàng)關解決方案。