公共部门 
Keeper Security 目前可通过两大州级合
作为一名前联邦首席信息安全官,我在企业基础设施的设计和安全保障方面拥有数十年经验,我越来越担心各组织仍在依赖那些为早期环境设计的传统特权访问管理(PAM)解决方案。
这些系统曾经是安全领域的黄金标准,但在当今的现代云原生世界中已成为危险的负担。 让我来解释为什么您的传统 PAM 解决方案不仅无效,而且还在积极地将您的组织置于风险之中。
基于边界的安全谬论
传统 PAM 解决方案的根本问题在于其架构 DNA。 这些系统是为网络边界清晰的时代而构建的,在那个时代,强大的外围足以将威胁拒之门外。 在当今混合云、远程工作和互联系统的环境中,这种模式不仅过时,而且构成了重大威胁。
我们仍然坚持“可信”和“不可信”网络受安全控制约束的观念。 Keeper 通过在整个生命周期内保护机密和密码(无论它们位于何处)来促进无边界环境。
考虑一个典型的联邦传统 PAM 部署:仅为了基本功能就需要打开多个防火墙端口(443、80、8080、22、23、1434)。 每个端口都是攻击者的潜在入口,形成“瑞士奶酪安全”模型,布满必要漏洞的边界可能危及企业安全。
相比之下,现代解决方案如 Keeper 采用零信任模型,在设备级别对每个访问请求进行身份验证和加密,从而无需永久打开防火墙。
实施的噩梦
让我彻夜难眠的不仅是架构上的缺陷,还有这些系统的实际使用情况。 根据我的经验,我经常看到组织仅实现了其传统 PAM 解决方案的 20-30% 的功能。 原因很简单:这些系统过于复杂和繁琐,导致全面落地几乎不可实现。
这种不完整的实施会导致对安全性的错误认知。 组织认为他们受到保护,因为他们有一个 PAM 解决方案,但他们无意中创造了一个影子 IT 噩梦。 当用户发现官方系统过于繁琐时,他们就会想出一些变通办法——将密码存储在未经授权的位置、通过非官方渠道共享凭据以及创建不受监控的管理账户,“只是为了完成工作。”
云原生的断层
传统 PAM 解决方案最严重的缺陷在于其无法支持现代云原生操作。 这些系统从未为当今基础设施的动态特性而设计,其中容器在几秒钟内启动和关闭,基础设施由代码而非硬件定义。
传统 PAM 解决方案中未实现的功能会增加您的攻击面,使企业的安全性降低。 功能臃肿是一个错误,而不是一个特性。
影响异常严重:DevOps 团队在面对无法集成 CI/CD 管道或处理动态机密注入的 PAM 解决方案时,通常会完全绕过安全措施。
现代解决方案通过 API 优先设计和与开发工作流的本地集成来解决这一问题。 例如,Keeper 的 Secrets Manager 提供零知识加密,同时与 CI/CD 管道无缝集成。 它允许在不影响安全性或开发速度的情况下自动注入和轮换机密。
零信任势在必行
在当今的威胁环境中,一旦进入网络边界就假定信任是我们再也负担不起的奢侈品。 但是,传统的 PAM 解决方案继续遵循这种过时的原则。 用户一旦通过 PAM 系统的身份验证,通常就能获得广泛的访问权限,而后续验证却很有限。
现代安全要求采用零信任方法,对每个访问请求都进行身份验证、授权和加密。 这需要实施记录级加密、设备级安全和持续验证安全态势。 例如,Keeper 的架构确保每个存储的保管库记录都使用 AES-256 Galois/Counter Mode (GCM) 进行单独加密,加密和解密都在设备本地进行,绝不会在云端或中央服务器上进行这些操作。
合规困境
传统 PAM 解决方案的合规性影响正变得越来越成问题。 随着监管要求不断发展以应对现代威胁,许多传统系统难以提供必要的控制和可见性。 他们的日志记录和审计功能经常遗漏关键访问事件,使得合规性验证成为一项人工操作且容易出错的过程。
现代 PAM 解决方案通过直接与 SIEM 系统集成的全面日志记录和报告功能来解决这一问题。 例如,Keeper 的高级报告和警报功能提供所有访问尝试和更改的详细审计跟踪,同时保持零知识加密以确保数据隐私。
重新构想的零知识架构
现代 PAM 的核心是零知识架构,可消除传统漏洞。 Keeper 的实现通过多层加密模型将其提升到一个新的水平。
每条保管库记录均采用客户端设备上生成的伽罗瓦/计数器模式 (GCM) 中唯一的 256 位 AES 密钥进行加密。 这种记录级加密确保了即使一条记录被泄露,其他记录仍能保持安全。 加密和解密过程完全在用户的设备上进行,从不在云端或 Keeper 的服务器上进行。
在本地部署 PAM 意味着你要信任所有你已知存在安全漏洞的基础设施层——你的网络、管理程序和操作系统。
这种模型在企业部署中进一步扩展:共享文件夹中的记录密钥由 256 位 AES 共享文件夹密钥进行封装,而记录密钥和文件夹密钥由另一个称为数据密钥的 256 位 AES 密钥进行加密。 这会创建多层加密,必须逐层破解这些加密才能访问任何单一信息,从而防止任何横向移动和额外的泄露。
重塑身份验证
现代 PAM 要求我们重新思考如何处理身份验证。 Keeper 的方法通过复杂的多步骤流程消除传统漏洞:
- 设备验证:用户在登录前必须通过设备审批和验证步骤。 这可防止枚举攻击,并能抵御暴力破解尝试。
- 零知识单点登录 (SSO):Keeper 在与企业身份提供商集成时能保持零知识安全,同时仍允许无缝 SSO 身份验证。 这是通过一种独特的方法实现的:在每台设备上本地生成并存储椭圆曲线私钥。 密钥在现代浏览器中存储为不可导出的加密密钥,在 iOS/macOS 设备上存储在密钥链中,在 Android 设备上通过 Android 密钥库进行加密。
- 多因素身份验证 (MFA):Keeper 支持多种 MFA 选项,包括 FIDO2 WebAuthn 硬件密钥、生物识别和基于时间的一次性密码 (TOTP)。 其独特之处在于,MFA 是在设备验证之后,但在主密码输入之前执行的,从而创建了多个必须依次通过的安全层级。
正确实现云原生安全
Keeper 并非是在传统架构上添加云功能,而是从头开始为现代环境构建的。 该平台在多个地区(美国、美国政府云、欧盟、澳大利亚、加拿大、日本)利用 AWS 托管和运营其基础设施,支持组织在确保高可用性的同时维护数据主权。
作为一名前联邦首席信息安全官,我在企业基础设施的设计和安全保障方面拥有数十年经验,我越来越担心各组织仍在依赖那些为早期环境设计的传统特权访问管理(PAM)解决方案。 这种双重加密方法即使在 TLS 被破坏的情况下也能提供保护。
真正有效的 DevOps 集成
Keeper Secrets Manager 为开发团队提供适当的 DevOps 集成,同时不影响安全性。 实施包括:
- 零知识 API 访问:应用程序使用 GCM 模式下在客户端生成的 256 位 AES 加密密钥检索机密。 每个机密都单独加密,加密和解密都在设备本地进行。
- 安全密钥分发:当需要在用户或应用程序之间共享机密时,Keeper 使用椭圆曲线密码技术来安全地分发密钥,确保即使在密钥交换过程中也保持零知识状态。
- 自动机密轮换:在客户的环境中安装一个独特的网关,建立与 Keeper 基础设施的安全出站连接。 这样就能在不暴露内部系统的情况下自动轮换密码。
实时漏洞防护
现代 PAM 必须积极防范密码泄露。 Keeper 的 BreachWatch® 功能演示了其工作原理:该系统在 AWS 上维护一个独立的、自包含的架构,用于处理数据泄露检测。 使用不可导出的密钥,通过 Hardware Security Module (HSM) 使用 HMAC_SHA512 哈希来处理密码。 检查密码是否泄露时,会在客户端设备上生成 HMAC_SHA512 哈希值,并通过 HSM 在服务器端生成第二个哈希值。 这种“hash-of-hashes”方法可确保在漏洞检测过程中绝不会暴露实际密码。
重新构想的会话安全
对于远程访问场景,Keeper Connection Manager 重新构想了安全会话管理:
- 零信任连接:在建立远程会话时,保管库客户端使用 WebRTC 连接与 Keeper 的路由器基础设施进行通信,该连接受 Keeper 相关记录中所存储的 ECDH 对称密钥保护。
- 安全隧道:对于端口转发功能,数据通过 WebRTC 连接传输至 Keeper 网关,然后转发至目标端点。 每个会话都由网关生成的 AES-256 加密密钥保护。
- 会话记录:所有会话记录均由为每个会话生成的唯一 AES-256 加密密钥保护,该密钥由 HKDF 派生的 AES-256 资源密钥进一步封装。
前进的道路
向现代 PAM 的过渡不仅仅是采用新技术,而是要采纳一种根本不同的安全理念。 企业必须认识到,他们的传统 PAM 解决方案不仅不是安全资产,实际上还可能是一个重大负担。
好消息是,像 Keeper 这样的解决方案展示了现代 PAM 如何提供可靠的安全性和无缝的可用性。 通过结合零知识架构、设备级加密以及与现代工作流程的本地集成,组织可以在不影响安全性或用户体验的情况下实现真正的特权访问管理。
在当今的威胁环境中,正确的 PAM 解决方案不仅要管理权限,还要确保安全基础能够促进业务敏捷性,而不是阻碍业务发展。 这项技术是存在的;问题在于各组织是否会赶在传统解决方案成为其致命弱点之前完成转型。
立即预约演示,了解 KeeperPAM 如何帮助确保您的环境安全。
