KeeperPAM^® 与 CyberArk：比较 PAM 解决方案

CyberArk，虽然是广受认可的 PAM 提供商，但在架构上存在一些局限性，无法成为现代企业最安全、最高效的解决方案。

CyberArk 可以访问加密用户数据，这意味着它不是零知识。

CyberArk 依靠一个单一的中央保管库来处理所有的加密和解密。为了保证系统正常运行，保管库必须始终在线，并且依靠网络来确保数据传输到客户端时的安全。这种依赖为客户带来了潜在的单点故障。

众所周知，CyberArk 的 PAM 存在性能较慢的问题，因为其执行在很大程度上依赖于网络的稳定性和速度。任何网络延迟或中断都会显著影响远程会话的响应速度，可能导致依赖及时访问特权资源的用户感到沮丧。

CyberArk 的 PAM 解决方案以其高运营开销和高昂的许可费用而闻名，这可能会成为灵活性和可扩展性的障碍。其架构可能较为僵化且管理复杂，因此不太适应当今快速发展的云优先安全环境。

Cyberark's平台需要大量的前期和持续投资，包括基础设施设置、专业人员和分级许可费用。评估 ROI 变得具有挑战性，尤其是在叠加较新云功能时，这些功能通常需要额外的产品和服务才能实现完整功能。

CyberArk 的部署很复杂，几乎总是需要专业服务。根据 CyberArk 财务摘要，约 21% 的收入来自“维护和专业服务”，重大升级可能需要额外的昂贵服务。

这种复杂的设置会加重 IT 团队的负担，将资源从确保访问安全转移到管理复杂的实施上。

CyberArk是一个复杂的多组件架构，部署和维护成本高昂且困难。

根据您使用的功能，可能还需要 Password Vault Web Access (PVWA)、Central Policy Manager (CPM)、Privileged Session Manager (PSM) 或 PSM for SSH (PSMP)，并且必须单独安装和维护。组织通常会安排专门的人员来维护 CyberArk。

Cyberark's 的秘密管理工具 Conjur 需要大量基础设施，专为保护机器身份而设计，而 Workforce Password Manager（WPM）则较为轻便，但仍需配置以管理人类用户凭证。两者都需要，并且用途不同——Conjur 用于 DevOps 自动化，WPM 用于员工密码管理

Conjur 植根于复杂的本地架构，通常需要大量的基础设施、设置时间和持续维护。

例如，如果一个 DevOps 团队希望保护 Jenkins 管道中使用的机密，他们必须配置和管理 Linux 服务器，安装和配置 Conjur 服务，设置 LDAP 和 Jenkins 等安全集成，手动编写策略文件并建立高可用性。该项目耗时数周甚至数月，涉及 IT 基础设施团队，并且需要专门的培训和专业服务。

使用 Keeper Secrets Manager，您所在的 DevOps 团队只需创建一个新记录，生成一个 API 密钥，然后使用 Keeper 的原生插件将其插入到 Jenkins 管道中。无需管理基础设施，无需维护服务器，也无需编写代码。

CyberArk 的自动化和秘密轮换方法过于僵化，导致在快节奏的开发周期中效率低下。用户体验不那么直观，对开发团队来说，采用这种方法更具挑战性。

Cyberark's的设计主要面向 IT 管理员，这给没有强大技术背景的用户带来了挑战。这种困难在用户的负面评论中显而易见，这些评论经常强调可用性问题。

CyberArk 缺乏面向最终用户的桌面应用程序，不支持 Mac 或 Linux。

CyberArk 缺乏高级的表单填写功能，例如自动填写地址或支付信息。

与 Keeper Enterprise Password Manager 不同，CyberArk 不为每个企业用户提供免费家庭计划。

CyberArk's核心 PAM 组件，例如 Privileged Session Manager 和 Password Vault Web Access，依赖于 Microsoft 技术，包括 Windows Server、Remote Desktop Services 和 IIS。这些组件需要基于 Windows 的基础架构和定期打补丁，这增加了操作的复杂性。它建立在依赖传统企业系统的堆栈上，而这些系统与现代云原生偏好不一致。组织必须依靠 CyberArk 来安全地管理和更新这些组件，并确保其长期安全。

CyberArk 缺乏 Guacamole 所支持的灵活性和开源创新，使得定制和适应更加困难。