CyberArk中国区域金融行业案例-刘新星

CyberArk特权账号生命周期解决方案-中国地区金融行业案例刘新星1892CrberArk帮助中国平安改进他们重要系统的特权账号密码管理，提供给他们一个“统一的，集中的，平安的特权账号密码管理解决方案。完全满足平安信息平安部对“特权账号生命周期管理的理解和需求，而且关键组件的主备，灾难恢复，分布式部署，所有这些确保平安的特权账号管理是一个真正“企业级应用解决方案。中国平安在CyberArkPIM部署之前：大局部密码分散管理，各个系统管理员管理其所负责系统的账号密码无法保证合法访问关键系统访问审计困难密码强度无法保证无法做到经常更改应用程序账号密码固化在代码中，这局部账号更难管理3中国平安在CyberArkPIM部署之后：所有密码集中管理，公司获得对关键系统特权账号的掌控权确保所有系统能够执行公司密码平安策略：复杂度，定期更改，一次性密码，确保对所有系统的“合法访问：适宜的人，适宜的时间，适宜的地点，做适宜的事情完全的审计能力应用程序账号密码不再明文固化在代码中，平安借由CyberArkAIM,建立行业领先的可扩展的应用程序账号平安平台更高的信息系统可管理性和平安性关键组件的高可用性群集，灾难恢复，分布式部署，所有这些确保平安的特权账号管理是一个真正“企业级应用解决方案42021年以前，太平洋保险IT运行中心特权账号管理困难，在各个小组内以Excel表格形式共享特权账号密码，任何人都可以随时访问生产系统。导致变更管理的授权留于流程，以及时效性得不到保证。例如新员工可以很容易访问到关键应用，存在误操作风险：管理员可以在非授权时间工作时间访问生产系统，存在操作风险以及非法访问。密码泄漏给第三方效劳商人员密码不准确，多人持有的版本不同步，有时记录的密码不准确，导致下次无法使用。密码不修改，多台效劳器也使用同一个密码CyberArk帮助太平洋保险梳理所有正式环境的特权账号，通过CyberArkPIM软件构建了集团2021版特权账号管理平台，在2021年4月将所有运维类账号纳入到该平台中，并且梳理出一套有效，高效的账号给管理方法。52021年12月开始，太平洋保险投入特权账号管理的第二期工程中，通过使用CyberArkAIM实现应用程序连接数据库账号的动态管理，截止2021年3月14日CyberArk已经协助太平洋保险完成了超过10个应用系统的改造，覆盖WebLogic，WebSphere，ASP.NET等日常交易以及经营业务应用系统。由于应用程序账号历来是账号管理的难点，经过改造的应用系统已经实现所有账号的回收与管理的技术根底，下一阶段目标为将所有系统的各类软硬件的账号都被严格管理，并实现特权账号平台各组件的多可用。2021年，太平洋保险将灾备中心所有效劳器也纳入统一管理，利用了一套CyberArk环境实现了两中心的同步管理，审计人员可以通过一个CyberArkPortal了解所有生产中心、灾备中心的账号管理情况。在此期间通过特有的CPMforWeb技术，将WebLogic，WebSphere的密码也纳入集中管理，真正实现了全面管理。2021年，为了更好地实现应急流程，太平洋保险将CyberArk系统和监控系统集成，每当监控系统发现事件报警，那么通过CyberArk动态获取密码，并将密码发送给相应的管理员，防止了管理员为处理应急事件而再做申请审批流程。同时监控系统会结合Remedy，发现工单关闭后，那么会再触发一次指令要求CyberArk对该账号进行密码回收。2021年，CyberArk系统又进一步进行扩充，引入了账号扫描功能，针对被管理的效劳器每天进行检测获取账号列表，并且依据列表比照，获取任意两天之间的差集，及时发现未纳管账号，以及“幽灵账号。6借助CyberArkAIM的实施，太平洋保险逐步以工程组成员为根底，形成特权账号长效治理的管理团队，覆盖如下工作重点：新上线效劳器纳入特权账号管理新业务应用配合部署CyberArkAIM，将相关数据库账号纳入自动管理范畴WebLogic,WebSphere效劳器的WebConsole端账号通过CPMForWeb方式纳入特权账号管理,实现自动修改,验证定期扫描分布账号快照，通过匹配，发现未管理的特权账号，并以报表方式通过邮件定期告知用户依靠统一日志平台及时发现特权账号的新增,删除,权限修改，密码更新等7浦发银行成功实施 CyberArk PIM 解决方案，不仅包含了上海数据中心，合肥灾备中心，还包括了全国 30 个分支机构，将全行所有信息系统均纳入 CyberArk PIM 实现密码的自动更改与审计。完成 SecureCRT,PUTTY,RDP,Xmanager,Xming,SQL Developer,MSSQL Management Studio,IBM Data Studio,NBU等各种运维工具和受管系统的单点登录，极大地满足了各个管理人员的使用习惯。工程中利用 CyberArk PIM 权限控制，精细授权，实时审计的特性充分映射了浦发银行内部的已有管理方式和权限人员定义，工程实施对已有流程产生积极影响，保障平安。实施中，为了加快实施方式，98%的权限配置工作均由利用CyberArk Vault 的 API 实现了自动化配置。充分利用 CyberArk 提供的 API 实现自定义的程序：为了使得更方便快捷实现账号的登录会同，所有人员均可以通过回复邮件完成审批，即使在移动设备iphone,andriod 等也可以满足审批的实时性要求。定期检索受管效劳器上的账号列表，定期比对找出违规创立的幽灵账号，方便内控审计人员了解账号的全局情况，定期审计与跟踪。整体方案涉及到近450个IT人员，2000台效劳器，以及960个PSM并发会话。8国泰君安成功实施 CyberArk PIM 解决方案，覆盖了所有生产系统，备份系统以及历史系统。其内部所有的核心数据库都是 Microsoft SQL Server，并且以Cluster构建。因此相关账号修改后，还需要同步到各个数据库的 Windows Service中，因此给手工密码修改带来难度。CyberArk PIM 的企业级特性，自动地将所有的密码同步至相关的windows 效劳中，大大提升了密码管理的自动化程度。并且所有相关密码会在周五非交易时间进行自动更改，保障了证券的业务稳定性。另外，国泰君安具有自动化运维系统，其数据库的表中含有所有效劳器的密码，并且以加密形式存放。通过 CyberArk 的 CPM for DB Column的特性,将自动更改后的密码不仅同步至Windows Service 中,还同步到该自动化运维系统。30个IT人员对生产系统的操作，都通过CyberArk PSM效劳器来进行登录，所有的操作录像和命令行均保存在Vault中,供今后进行审计。9广东省农村信用利用 CyberArk 的 PIM 套件实现了自身的特权账号的全 面管理，工程范围覆盖账号密码的自动管理，账号的单点登录与操作审计，应用运行账号的动态修改，UNIX/Linux/Windows 操作系统层面的特权账号权限细分。包括的组件有:Enterprise Password Vault 通过密码的自动修改、验证、调账功能实现了密码策略的合规，IT 人员不再需要手工去逐一管理密码。Privileged Session Manager 密码将不再暴露给任何IT用户和第三方人员，他们通过单点登录模式，实现零足迹的保证数据库的平安并且对性能没有影响，捕捉数据库管理的每一个操作。部署是尤其快速并且对生产业务应用没有风险相对于其他数据库活动监控解决方案。通过命令行的审计实现了对于数据库关键操作的记录。针对第三方外包人员操作，内部管理员可以分屏在其他终端对其进行监控。Application Identity Management 全面解决了保护和管理其内部应用程序帐号定期更改的难题。该方案解决了在应用程序代码，配置文件，脚本中的密码存储、审计、管理的挑战，使得所有的高度敏感密码，集中和平安地存放在CyberArk的 Vault密码保险库中。利用这种独特的方法，企业能够符合内审和外审的合规性要求，做到密码定期更换，并且可以监控对所有系统、数据库、应用程序的特权访问。On-Demand Privilege Manager 类似root、administrator这样的UNIX/Linux或者Windows系统用户的权限使用将可以被细颗粒地划分给普通用户，任何用户进行提权时将被操作系统底层审计到，并集中存放到Vault中进行跟踪。在UNIX/Linux 环境中，oracle管理员将不再需要使用root用户，任何需要使用root用户完成的命令均预授权给oracle管理员，极大程度防止了频繁使用root造成的不便于平安隐患。在Windows环境中，通过域控的集中设置，自动完成域控OPM策略的自动分发。在实施之前原本Windows上的各类账号根本上都赋予管理员权限，在实现OPM之后，内部运维账号的权限更为细致，管理应用的账号将不再具有起停系统效劳的权限，但却具有起停应用本身效劳的权限。10为全亚洲最平安的银行，世界排名第 152021 年，新加坡星展银行于 2021 年 12 月 开始部署 CyberArk 作为全行统一特权账号管理平台。IBM作为星展银行的战略合作伙伴，向其各个国家的分行包括马来西亚，印度尼西亚，中国大陆，香港，台湾，印度进行IT效劳。由于新加坡法律合规性要求严格，而星展银行本身也因 IT 全面外包IBM，因此账号的平安控制和操作审计成为信息平安中的第一要务。原本特权账号的管理严格，统一由星展银行内部人员进行双人分段管理、控制和发放给IBM人员使用，在使用后隔天进行修改；信息平安部门每周进行审计和变更管理比对。因此消耗大量的人力，偶尔存在遗漏。2021 年 12 月在新加坡总部和香港率先部署 CyberArk PIM 分布式解决方案，形成跨国灾备，全行统一的部署架构。之后其他地区马来西亚，中国大陆，台湾，印度尼西亚，印度逐步进行增量部署。中国大陆，星展银行中国在 2021 年 10 月部署了CyberArk PIM。除去 CyberArk PIM 带来的一些列共性好处外，星展银行相比其他客户，具有如下特别的商业价值：1.分布式架构使得在新加坡总部即能实现平安策略的下发2.统一地产生账号相关的平安信息报告3.新加坡总行对各国分行的账号管理具有很强的控制能力4.严格监控外包效劳商IBM在其内部的特权账号会话管理5.更快速、方便地应对每3个月一次的审计要求。11华侨银行其总部于 2021 年开始率先在总部部署 CyberArk 特权账号管理平台。中国地区机构在 2021 年 8 月之前仍采取手工密码的管理方式。所有密码一半由平安部门持有，一半密码由系统管理持有。这样的密码管理方式虽然平安，但是引起整体管理流程过于低效，员工们对于密码策略也无可奈何。在2021年9月在中国地区实现了CyberArk CPM 组件，完成了中国地区特权账号的密码自动更改。变更管理与密码发放相结合：正常情况下，用户通过 CyberArk PVWA Portal 申请密码，在申请的同时填写内部变更号，PVWA依据变更号至工单管理系统Dimension中校验信息，包括账号使用人，工单号，工单状态是否 审批，工单关联的账号列表。实现了自动的密码获取。针对紧急事件，未具有审批状态的工单号，那么通过邮件集成的形式。审批人发送邮件确认信息，PVWA 自动审核工单，假设在工单系统中不具备审批状态，但是具有审批人确认邮件，那么 PVWA 仍 旧可以实现密码发放。CyberArk PIM 套件的产品成熟度和开发的体系架构，使得客户可以根据自身 情况完成系统部署和管理流程改造。所有密码的有效性为 2 个小时，并且当超出变更时段，该密码也将自动失效CyberArk PIM 系统上线后，中国地区的运维管理效率快速提升，平安管理员省去输入密码的日常工作，将更多的经理投身于内控与合规检查。系统管理员也可以更高效快速地获取密码，解决日常问题与变更 操作。12建设银行亚洲坐落于香港，在建设银行亚洲坐落于香港，在20212021年的审计中，香港行业审计人员在审计报告中严厉地指出年的审计中，香港行业审计人员在审计报告中严厉地指出建设银行亚洲未实现自动化的密码存储与密码发放，也存在特权账号使用后建设银行亚洲未实现自动化的密码存储与密码发放，也存在特权账号使用后 未及时修改的潜在风未及时修改的潜在风险，险，日常记录不准确等问题。而这些问题均不符合香港银行合规要求。日常记录不准确等问题。而这些问题均不符合香港银行合规要求。基于此审计报告，建设银行亚洲基于此审计报告，建设银行亚洲ITIT角色层立即将特权账号作为之后的合规性工作重点，并在角色层立即将特权账号作为之后的合规性工作重点，并在20212021年年2 2月部署了月部署了CyberArk PIM CyberArk PIM 作为特权账号管理方案。整体方案涉及到作为特权账号管理方案。整体方案涉及到8080个个ITIT人员，人员，10001000台效劳器，台效劳器，以及以及4000040000个被管理账号。个被管理账号。中银国际于日常工作中时常发现存在违规使用账号的情况，为了进一步加强内部控制和审计，在中银国际于日常工作中时常发现存在违规使用账号的情况，为了进一步加强内部控制和审计，在 2021 2021 年全面进行特权账号管理，实现自动化管理账号的分发与回收。并在根本年全面进行特权账号管理，实现自动化管理账号的分发与回收。并在根本EPV EPV 的根底上，的根底上，使用使用 CyberArk PSM CyberArk PSM 对所有的特权会话进行录像审计。对所有的特权会话进行录像审计。其内部存在一个网络设备配置备份软件，在工程之前，相关密码都是静态的，因此存放在配置文其内部存在一个网络设备配置备份软件，在工程之前，相关密码都是静态的，因此存放在配置文件中，备份软件利用其进行连接到网络设备上，定期进行备份。工程后，使用件中，备份软件利用其进行连接到网络设备上，定期进行备份。工程后，使用 CyberArk AIM CyberArk AIM 技术使得技术使得备份软件能够动态获得密码，去除了不平安，含有所有网络设备的配置文件。整体方案涉及到备份软件能够动态获得密码，去除了不平安，含有所有网络设备的配置文件。整体方案涉及到 60 60 个个 IT IT 人员，人员，8000 8000 台效劳器，以及台效劳器，以及 35000 35000 个被管理账号。个被管理账号。13谢谢谢谢Thank you!Thank you!