北京环球影城主题公园特权访问管理(PAM360)解决方案

餐饮娱乐 卓豪
应用案例 2022-10-19 14:38:07
工欲善其事,必先利其器,为支撑环球影城项目健康平稳运行,环球影城内部署了多套信息系统。相应的,windows和linux的资源服务器账号均千台以上。 最初,运维工程师负责各信息系统的运维管理,方式为将管理员账号密码分配给相关工程师让其直接维护服务器的账号密码。但随着重要资源类型和数量越来越多,管理难度越来越大,忘记密码,密码泄露的情况时有发生,不可控的安全风险也随之提高。环球影城IT领导慎重熟虑后,决定对于IT资源进行统一化,精细化管理,进行定期密码重置, 对于部分关键资源和敏感资源账号的使用希望采取审批控制。
北京环球影城主题公园特权访问管理(PAM360)解决方案

客户背景

北京环球影城主题公园,由北京首寰文化旅游投资有限公司和康卡斯特NBC环球公司旗下的环球主题公园及度假区集团合资拥有,是世界第五个,亚洲第三个环球影城,整体项目投资预计超过1000亿元人民币,是中外合资的大型文旅项目,于2021 年正式开园,预计年接待游客超过1000万人次,峰值可达1500万人次。

 

面临问题

工欲善其事,必先利其器,为支撑环球影城项目健康平稳运行,环球影城内部署了多套信息系统。相应的,windows和linux的资源服务器账号均千台以上。

最初,运维工程师负责各信息系统的运维管理,方式为将管理员账号密码分配给相关工程师让其直接维护服务器的账号密码。但随着重要资源类型和数量越来越多,管理难度越来越大,忘记密码,密码泄露的情况时有发生,不可控的安全风险也随之提高。环球影城IT领导慎重熟虑后,决定对于IT资源进行统一化,精细化管理,进行定期密码重置,对于部分关键资源和敏感资源账号的使用希望采取审批控制。

 

解决方案

环球影城部署主服务器及备服务器,采取HA高可用性架构,数据库为内置AES 256加密PGSQL数据库,备服务器实时连接主服务器,防止业务中断。环球影城在系统中导入了内部域用户,通过枚举选择需要的OU。然后根据用户对于资源的管理需要,为部分用户赋予了管理员身份。环球影城采取各部门资源独立管理的方式, 首先由特权访问管理(PAM 360)的特权管理员工程师将企业内部在用的资源通过资源自动发现、代理方式添加、CSV导入等多种方式进行资源密码的集中纳管,然后根据实际管理需要,划分为资源的静态组和基于资源属性条件匹配的资源动态组,将资源组的管理权分享到了各个部门来进行使用和管理;

在成功添加资源并进行管理划分后,环球影城进行了对资源定期改密的设置。为满足不同业务场景,环球影城指定了多种方式对资源进行改密。首先,在密码策略上,环球影城设置了自定义密码策略,对密码长度、复杂度、特殊字符均进行了限制,对部分策略上进行了密码有效期的设置,过期后自动重置密码各个密码策略根据不同的资源类型、业务场景、使用频率进行资源及资源组的灵活匹配,从策略上为部分资源设置了自动改密。 另外,为统一管理,环球影城又在指定的动态组和静态组中,设置了定期的改密计划,管理员选择了使用自动生成符合复杂度要求的密码作为新密码,避免了多个资源密码共用和复用某些常用密码的亚安全情况。同时,环球影城中有一些敏感度高、业务影响大的特权账号密码,数据库资源密码在员工使用密码前,从流程上规定了需要进行请求申请,管理员端收到通知提醒后进行审批,审批通过后,用户可进行某段时间内的密码独占使用,然后在分享使用后进行密码收回并进行自动密码重置。对于令人头疼的人员调岗离职后仍然具有部分资源的访问权限的问题,环球影城基于特权访问管理(PAM 360)的用户管理功能,还进行了离职调岗后转移资源 访问控制审批权,资源所有权转移,并重置离职调岗用户拥有的所有密码,极大的保障了密码安全;

环球影城使用特权访问管理(PAM 360)平台提供的资源、用户、任务等多维度审计数据来确保资源密码安全合规使用。同时视频会话,SSH命令行,SQL内容的记录的直观数据,为员工的行为审计更是提供了强有力的数据支撑。

 

客户受益

特权访问管理(PAM 360)有效满足了环球影城对于密码安全合规性管理的种种要求,灵活的密码重置方式化解了他们对于资源密码改密遇到的各种难题。

此外,特权访问管理(PAM 360)实现了环球影城一直以来想要做的密码使用访问权限控制,之前的密码明文分享方式,既有内部非法访问的隐患,也有密码泄露外部攻击的风险,也无法通过审批流让需要知晓的管理者知道,一旦出现问题往往难以进行根本原因的问题定位及进行责任追踪。通过PAM 360的工作流审批控制,资源的使用变得更加透明化,制度化。所有数据内容均加密存储,安全性和可靠性得到了巨大保障。

 

产品介绍

1. 安全集中的资源密码凭证仓库。

2. 以浏览器的形式,通过加密的隧道连接的方式,对windows,linux,SQL,网络设备进行安全连接。

3. 为帐户配置即时特权策略,在设定的时间后自动撤消帐户权限,并提供使用后重置密码的选项加强安全性。

4. 通过影子会话及特权访问的双重控制能力来监督特权用户的活动。访问记录会以视频的方式存储记录到本地。

5. 捕获用户,资源,会话等丰富的日志内容,并支持将其转发到SNMP TRAP/SYSLOG服务器。

6. 可以集成工单系统,通过工单ID验证信息,增强特权帐户的访问批准工作流。

7. 保护您的SSL证书,支持与主流的的证书颁发机构(例如Digicert,GoDaddy和Let's Encrypt)集成。

8. 发现网络中的SSH设备并枚举密钥。可创建新的SSH密钥部署到终端设备,实现自动定期密钥轮换。