4月11日，在2019年帕拉迪全國渠道合作夥伴大(dà)會上，帕拉迪總經理陳雲宣布帕拉迪下(xià)一(yī)代堡壘機(PAM)正式發布，以滿足自動化運維時代，企業數據中(zhōng)心對賬号管理和通道控制的需求，爲企業安全智能運維賦能。

不熟悉帕拉迪和帕拉迪的人也許會問：爲什麽帕拉迪的大(dà)會，發布的是帕拉迪的産品?答案就是，帕拉迪和帕拉迪本是同源。2005年，陳雲成立浙江景怡網絡科技有限公司，并在當年發布了堡壘機。2015年，陳雲意識到用戶真正需要的是IAM(Identity and Access Management 即身份認證與訪問安全管理)，于是又(yòu)創立了專注于數據庫應用安全領域的浙江景怡網絡科技有限公司。

陳雲認爲，網絡安全有三個“癌症”：安全漏洞、人性的弱點和數據庫安全問題。對抗網絡安全“癌症”需要以用戶的問題爲導向，從三個方向出發：防護效果、解決安全風險帶來的時延問題、保證用戶業務系統的穩定。“安全并不僅僅是技術原因，更多的是來源于曆史原因和管理原因，要把這些原因統一(yī)考慮，必須把安全和管理融爲一(yī)體(tǐ)來做。”

也正是出于這樣的考慮，帕拉迪重在安全管理，持續專注于數據庫安全、體(tǐ)系安全、日志(zhì)大(dà)數據分(fēn)析三大(dà)方向。而作爲安全管理的一(yī)個重要角色，IAM的一(yī)個重要子模塊，堡壘機将仍舊(jiù)由帕拉迪繼續深耕。“今年下(xià)半年，帕拉迪将正式成爲帕拉迪的全資(zī)子公司。”陳雲在演講中(zhōng)還宣布。

那麽，什麽是下(xià)一(yī)代堡壘機?下(xià)一(yī)代堡壘機具有哪些能力?帕拉迪下(xià)一(yī)代堡壘機PAM又(yòu)添加了哪些新的元素呢?

新時代需要新的堡壘機

随着IT技術的不斷發展，數據中(zhōng)心一(yī)直在不斷演進。在主機層面，從傳統物(wù)理服務器到虛拟機，到到微服務架構;在網絡層面，從傳統網絡到現在的SDNS;在存儲層面，從倉儲到數據湖;在數據中(zhōng)心的運維層面，從人工(gōng)運維到現在IT運維自動化，開(kāi)發自動化，DevOps和AIOps等等概念的出現，使得現有的傳統堡壘機無法适應這些IT基礎架構的變化，無法滿足用戶的安全需求，新時代需要新的堡壘機。

對此，帕拉迪技術總監王楓也表示，堡壘街亟需變革升級。曆經多年發展，雖然堡壘機已形成了較爲完善的賬号管理、權限管理和審計體(tǐ)系，但是依舊(jiù)存在諸多缺陷：

一(yī)是，單台設備無法支持多用戶大(dà)并發問題，無法支持集群擴展。

二是，管理不方便，授權需要添加策略，無法可視化授權，即點擊及實現授權，人資(zī)産分(fēn)别以樹(shù)狀呈現。

三是，訪問終端局限，移動物(wù)聯網時代，無法支持手機運維及對數據中(zhōng)心資(zī)産及權限的實時掌控。

四是，無法自動收集賬号，當目标資(zī)産賬号變動時，堡壘機無法知(zhī)曉和響應。

五是，無法支持自動化平台的特權賬号使用，自動化平台的運維行爲成了法外(wài)之地。

六是，無法與ITSM、CMDB、DevOps、網管平台等系統聯動配合流程化運維。

下(xià)一(yī)代堡壘機是什麽樣的呢?

該如何解決以上難題，滿足未來數據中(zhōng)心的安全管理需求呢?下(xià)一(yī)代堡壘機應運而生(shēng)。

“所謂的下(xià)一(yī)代，更形象來講是新一(yī)代，新一(yī)代堡壘機針對新一(yī)代數據中(zhōng)心的新需求，滿足現有IT基礎架構。”帕拉迪技術總監王楓認爲，下(xià)一(yī)代堡壘機強調特權賬号管理中(zhōng)心，并且需要具備以下(xià)六大(dà)屬性，才能稱爲下(xià)一(yī)代堡壘機。

屬性一(yī)：提供可編程環境通道。可進行自動化程序穿透，通過API接口，讓運維自動化不再是法外(wài)之地，整個自動化過程可管理可審計。

屬性二：支持高可靠的集群和分(fēn)布式部署。數據中(zhōng)心體(tǐ)量越來越大(dà)，相應的堡壘機也需要與之相适應，需要支持任意環境下(xià)的集群和分(fēn)布式部署。

屬性三：支持移動管理和運維BYOD。移動互聯時代，移動管理和運維逐漸成爲剛需，下(xià)一(yī)代堡壘機PAM可通過專用App從管理者和運維者角度進行多方位管理和操作。

屬性四：數據安全控制。數據安全是企業關注的核心，要在運維過程中(zhōng)解決數據的未授權拷貝及外(wài)洩問題。

屬性五：賬号安全管理。對服務器和網絡中(zhōng)的各種賬号都能一(yī)鍵收集，并對其狀态一(yī)目了然，并做到最全單點登錄。

屬性六：高體(tǐ)驗，高便捷。對賬号權限可自定義管理，支持多浏覽器，爲客戶提供可視化權限矩陣展示，提供一(yī)站式安全設置等。

王楓表示：“堡壘機的重要程度高于網絡防火(huǒ)牆。它管理所有權限，是高頻(pín)的安全設備，使用便捷且支持各種應用環境，并且其自身安全性也極爲重要。好的下(xià)一(yī)代堡壘機要成熟穩定、安全可靠、技術先進。”

爲企業安全智能運維賦能，帕拉迪下(xià)一(yī)代堡壘機PAM發布

那麽，帕拉迪的下(xià)一(yī)代堡壘機PAM囊括了哪些功能?又(yòu)添加了哪些新的元素呢?

王楓告訴記者，帕拉迪下(xià)一(yī)代堡壘機PAM不僅具有傳統堡壘機的全部功能，比如：單點登錄、多因素身份鑒别技術、OCR标題識别技術、數據同步技術以及RemoteApp無縫應用等。“還将爲數據中(zhōng)心基礎設施提供統一(yī)的、獨立的帳号管理及通道控制服務，數據中(zhōng)心基礎設施可編程，至此，SDN、SDS、ITSM、CMDB、自動化運維、各網管軟件等，将可通過下(xià)一(yī)代堡壘機對數據中(zhōng)心基礎設施進行編程，實現控制閉環及AI處理。”

王楓以金融行業應用爲例解釋說，随着電(diàn)子銀行業務的蓬勃發展，現在很多的銀行IT架構投入的人力物(wù)力在增加，引入各種自動化技術，通過自動化提高工(gōng)作效率。而與此同時，安全風險也悄然而至，自動化變成了安全漏洞點。自動化平台爲了提供便捷交付業務而生(shēng)，卻沒有更多的防護措施，因此變成了不透明的黑盒子，比如腳本是否被惡意利用，自動化平台外(wài)不得而知(zhī)。一(yī)旦出現問題，管理員(yuán)很難把自動化平台權限快速收回終止業務。而通過下(xià)一(yī)代堡壘機，管理員(yuán)可以一(yī)鍵收回權限，切斷不安全的通信，然後進行适當的人工(gōng)幹預。

除此以外(wài)，在本次大(dà)會上，王楓還對數據中(zhōng)心數據安全縱深防方案、數據庫全生(shēng)命周期安全解決方案，進行了詳細的解讀，分(fēn)析了馬上要發布實施的等級保護2.0的相關要求，給出了相關解決方案。