不良密码实践是企业网络安全的最大威胁之一。 密码被盗导致 80% 以上的数据被成功泄露。 当员工使用弱密码、跨账户重复使用密码、或不安全地存储密码(即贴纸、电子表格等)时,他们的雇主将面临风险。
组织通常利用企业密码管理器来减少员工的密码不良措施。 不幸的是,许多公司都使用需要在本地部署的旧的密码管理解决方案。 与现代云端解决方案相比,本地部署面临三大挑战:可扩展性、安全性和可靠性。
可扩展性
云密码管理解决方案可以在需要时立即加入或退出用户。 甚至初始设置也非常快速,无需部署基础设施或进行网络更改,如 DNS、SMTP 等。 另一方面,本地解决方案需要部署服务器和其他广泛的基础设施变更。
此外,云密码管理解决方案可消除购买、部署和维护密码管理硬件和软件的麻烦。 另一方面,本地解决方案需要部署需要更多成本、时间和人力的服务器。
安全
云密码管理提供商通常会进行大量投资,以确保数据保护和隐私。 许多云密码管理数据中心都遵守严格的安全认证和框架,如 SOC2、ISO 27001、GDPR 和 FedRamp。 云密码管理提供商处理所有安全和 IT 补丁和问题。 本地密码管理程序要求您的 IT 和安全团队确保基础设施的安全。
此外,一些旧的本地密码管理解决方案在设计时没有遵循零知识加密原则。 这些本地解决方案可能会对静态数据进行加密,但可以访问基础设施的管理员可以获得解密密钥。 将加密密钥与静态数据一起存储会带来灾难。
在零知识加密模型中,解密数据的密钥永远不会存储,它们来自最终用户的主密码。 在这种模型中,管理员无法任意解密任何用户的保险库。
当加密密钥和加密密码存储在相同位置时,需要考虑多种攻击媒介。 能够访问托管软件或后端数据库的内部人员可以无任何痕迹地访问。 或者,供应商的恶意软件更新可能会泄露数据。
可靠性
访问登录凭证对任何企业来说都是至关重要的,因此在选择密码管理程序时,正常运行时间和可靠性是一个至关重要的因素。 云密码管理解决方案通常提供 99.9% 以上的正常运行时间率以及离线访问,允许用户在不太可能的停机时间内访问密码。 但是,本地密码管理器要求 IT 团队保持基础设施以最高性能和可用性运行,这既昂贵又耗时。
许多组织选择云端密码管理解决方案,而不是存在上述技术障碍的本地解决方案。 以下是 Keeper 云端密码管理解决方案提供帮助的方式。
安全且可扩展的密码管理,轻松与您的安全基础设施和流程集成
Keeper 可以在企业规模上部署任意数量的用户,从小型实体到拥有数十万员工和承包商的组织。 Keeper Cloud Security Vault 由北美、欧洲、日本、加拿大和澳大利亚的 Amazon AWS 托管,用于本地化数据隐私和地理隔离,以托管和运营 Keeper 解决方案和架构。 利用 Amazon AWS,Keeper 能够根据需要无缝扩展资源,并为客户提供最快和最安全的云存储环境。 Keeper Security 可在多区域环境中运行,以最大限度地延长正常运行时间,并为客户提供最快的响应时间。
此外,Keeper 与任何本地或云端身份识别解决方案(包括 AD、LDAP、Azure、SCIM 以及符合 SAML 标准的 IdP)无缝、快速集成。 这包括 SSO 解决方案,如 Azure、Okta、Centrify、BeyondTrust、Google Workspace、JumpCloud、OneLogin 和 Ping Identity。 Keeper 还提供开发者 API,允许 Keeper 与任何类型的本地、云端或混合云环境集成。 对于事件跟踪和报告,Keeper 可无缝集成所有主要的安全信息和事件管理 (SIEM) 解决方案,包括 Splunk、Sumo Logic、LogRhythm、IBM、DEVO 以及任何支持 Syslog 格式事件的系统。
零信任和零知识密码安全
Keeper 拥有业内存在时间最长的 SOC 2 和 ISO 27001 认证。 对于欧盟地区的客户,Keeper 符合欧盟地区隔离数据中心的 GDPR 要求。
对于美国公共部门客户,Keeper 政府云是经 FedRAMP 授权的(中等影响),并符合 ITAR 标准。 Keeper 的 ISMS 确保实施严格的安全控制,以保护客户数据,并确保产品和服务安全运行。
Keeper Security 使用基于不信任架构中的任何用户的零信任安全框架来创建产品。零信任推测所有用户和设备都可能被入侵,因此每个用户在访问网站、应用程序或系统之前都必须经过验证和认证。 此网络安全框架是 Keeper 网络安全平台的基础。 该平台可为 IT 管理员提供所有用户、系统和设备的全面可见性,这有助于确保遵循行业和监管要求, 要在组织中建立零信任框架,必须具备零知识安全架构支持的世界一流的密码安全。
零知识加密
Keeper 是一家零知识安全提供商。 用户凭证在设备上本地加密,密文以加密形式存储在 Keeper 的 AWS 环境中。 Keeper 实现了一个基于客户端生成的密钥的多层加密系统。 在本地设备上生成的记录级密钥和文件夹级密钥会对存储的每个保险库记录(例如密码)进行加密。 密钥在设备上本地生成,以保存零知识并支持记录和文件夹共享等高级功能。 对于使用 SSO 或无密码技术登录的用户,使用椭圆曲线加密技术对设备级数据进行加密和解密。 多层加密确保即使单个密钥被泄露,也可以访问其他记录。 我们称之为限制“爆炸半径”。 由于 Keeper 的云端只存储加密的密文,因此 Keeper Security 员工和基础设施提供商无法访问或解密客户数据。
更可靠的正常运行时间和离线访问
Keeper 托管在 AWS 上,承诺达到 99.99% 的正常运行时间和可用性。 其他密码管理程序托管在自己的自定义数据中心,这会导致多次停机。 Keeper 知道您的问题很重要,并且提供通过电话与真实工作人员交谈的选项。 Keeper 实时支持 24 x 7 全天候支持服务。 Keeper 还为订阅用户提供产品培训和入职协助。 单击此处,了解 Keeper 的正常运行时间状态。
当用户无法在线连接到 Keeper 或其身份提供商时,Keeper 离线模式允许用户从任何设备访问其保险库。Keeper 网络保险库、桌面应用程序、iOS 和 Android 移动应用程序都可使用离线访问。 保险库数据以加密格式存储,只有用户提供主密码或生物识别身份验证才能访问。 多个用户可以共享一台设备(例如笔记本电脑),并且离线时所有用户的保险库都将安全地存储在该电脑上。 自毁保护会在尝试登录失败 50 次后擦除所有本地存储的数据。
摘要
与现代云端解决方案相比,传统密码管理解决方案需要本地部署,因此在可扩展性、安全性和可靠性方面存在挑战。 如果您对安全、一站式云端密码管理解决方案感兴趣,请向我们的团队成员请求演示。