獨立且透明的帳號管理
Safeguard 的特權帳號管理系統ShellControlBox是一個隨插即用安全裝置,可以控制對遠端伺服器、虛擬桌上型電腦或網路設備的存取, 並記錄使用者存取這些系統的行為。
例如,它會記錄系統管理員更新WEB伺服器,或者第三方IT供應商設定您的WEB路由器行為。 稽核追蹤的紀錄可以像錄影一樣重播,以便按照發生的時間來查看事件。稽核追蹤的內容會被編入索引,以便搜索事件和自動產 出報告。SCB特別適合於監督特權使用者存取,以降低特權使用者構成的安全風險或滿足合規性要求,如PCI-DSS 或 ISO 27000。
SCB將管理所有連線(包括設定更改、執行命令等)都記錄到稽核追蹤裡。所有資料都會以加密、時間戳記和簽名檔來儲存, 以防止任何修改或操作。如果出現任何問題(伺服器設定錯誤、資料庫錯誤操作、意外關機等),隨時都可以在稽核追蹤裡檢索事件的情況,輕鬆找到事件的原因。
SCB是一個快速部署的企業工具。它是一個獨立於用戶端和伺服器之間的設備,不必修改應用程式還可以無縫接軌到現有的基礎架構中使用。
應用領域與終端使用者最佳典範
合規性在一些行業中變得越來越重要,像是法律、法規和工業標準要求都是要保護客戶資料和提高安全意識。 類似於信用卡卡行業的法規-資料安全標準(PCI-DSS)、ISO27001或GDPR都對敏感性資料進行嚴格的存取管理。 當需要進行稽核時,LOG 系統中缺少的項目會導致許多問題。因此企業必須找到一個可靠的解決方案, 才能能夠對特權使用者的行為進行稽核和追蹤,以確保合規性。
保護敏感性資料免遭特權濫用
許多公司管理和存取個人資料,例如賬單資訊,付款交易資料和個人財務資訊。使用者存取此資料必須記錄並存檔數年。 如果有任何未經授權的存取和資料外洩,該公司可能遭受重大聲譽損害。因此SCB將您的敏感系統與未知入侵者或非授權使用者完全隔離。此外,它還可以追蹤所有授權存取敏感資料的行為, 並在出現人為錯誤或異常行為時提供可操作的資訊。
稽核VDI使用者
越來越多企業實施VDI,因此,當使用者在本機工作時,所有使用的應用程式、程序和資料都將保存在伺服器上並集中運行 。但是在這些終端伺服器上運行的無數商務應用程式無法進行完整的LOG記錄。因此,無法監視數以億計的Thin-Client使用者的行為。 SCB可以稽核主流的VDI應用程式(如CITRIX、Xen Desktop、RDSessionHost等)中使用的協定,允許監視與記錄使用者使用的應用程式活動。
監控內部IT人員
系統管理員是IT環境中最強大的使用者。雖然它們通常位於公司資訊架構的底部, 但它們對作業系統、資料庫和應用程式具有非常高甚至無限制的存取權限。 使用伺服器上的特權帳號,管理員可以直接存取和操作公司的敏感系統,並可能意外(或故意)對其造成巨大損害。 它們經常共用特權帳號的密碼,這違反了安全性原則。此外,他們還有可能隱藏自己的行為。因此無法知道, "誰做了什麼?",而且會導致浪費時間和金錢在指控及在調查事件。
控制外包合作夥伴
在全球化的趨勢下,IT功能通常被外包給承包商、託管服務和雲端廠商。因為IT供應商所提供的服務是有風險的,因為承包商會使用特權帳號可能會導致資料外洩。 雖然有簽訂SLA,但實際上不能只靠監控SLA來完成。對於IT_SLA及使用活動的紀錄,幾乎沒有可靠且易於使用的解決方案。 若要即時回應或限制部外部管理權限也很有挑戰性。必須主動監視承包商行為, 以瞭解合作夥伴在連接到您的系統時所做的操作及行為 。
產品功能和優點
- 獨立於伺服器和用戶端設備之間
- 於操作整合到現有的架構中
- 控制所有常用的管理協定,如SSH, RDP, HTTP(s),Citrix ICA,VNC or Telnet
- 提供伺服器和網路設備的詳細存取控制記錄
- 遠端系統授權-和資料存取的四階段認證
- 即時預防高風險行為
- 稽核SCP和SFTP連接、列出檔案操作和擷取檔案的傳輸內容
- 收集防篡改資訊進行取證調查
- 錄製的會話並可進行電影般重播
- 用於快速疑難排解的全文檢索
- 自訂活動報告以確保合規
- 簡單的WEB的管理介面
- 高可用性選項
- 自動資料存檔和備份
全方面通訊協定檢查
SCB作為應用程式代理伺服器:可以檢查傳輸中的應用層連線(OSI模型中的第7層),並拒絕所有違反該政策的通訊連線-阻擋攻擊事件。 對通過SCB的通訊連線了解其詳細內容並可進行控管, 如 SSH 連接中使用的身份驗證和加密方法,或RDP連線中允許的通道。
完整的通訊協定覆蓋率
- Secure Shell(SSH)協定(版本 2)可用於存取 Unix 的伺服器和網路設備
- VNC 圖形遠端桌面共享系統多平臺存取控管。支援 VNC 的 TLS 或 SSL 加密。
- 遠端桌面協定(RDP)版本5、6和7,可用於存取Microsoft windows 平臺(包括 windows 2012R2 和 windows 10)
- HTTP/HTTPS協定,可用於管理存取各種設備和應用程式,例如,路由器、防火牆、設備及WEB服務
- X11 協定,可用於 Unix Like 圖形介面遠端存取控管。
- 用於存取遠端虛擬桌面的VMware應用程式(目前僅支援使用RDP協定的直接連接)。
- 支援Citrix_ICA通訊協定的虛擬桌面存取和應用伺服器控管。(SCB通過XenDesktop和XenApp7.x驗證為Citrix_Ready。)Common_Gateway_Protocol (CGP)也支援。
- 對於用Telnet存取的網路設備(交換器、路由器)以及用於舊式UNIX系統和IBM大型機使用的TN3270/TN52 50 協定進行控管。也支援Telnet的TLS及SSL 加密和支援 TN3270。
- 支援終端服務閘道伺服器協定,因此,SCB可以充當終端服務閘道(也稱為TS閘道或遠端桌面閘道)。
詳細的存取控制
SCB支援本機憑證,提供儲存使用者憑證(例如,密碼、私密金鑰、憑證)並使用它登錄到 目標服務器,而無需使用者存取憑證。 這樣,使用者只需要使用常用的密碼(可以儲存在本地的SCB或中央LDAP資料庫中)就可以在SCB上進行身份驗證。如果允許使用者存取目標伺服器, 則SCB會自動使用憑證進行登錄。
可控制參數
- 使用SSH、Telnet或RDP6進行網路層身份驗證時管理員組存取伺服器(基於使用者名稱黑白名單或 LDAP 組)。
- 除了在遠端伺服器上執行身份驗證之外,還可以在SCB_WEB介面上要求額外外部驗證。 也可以進行外部身份授權驗證。
- 用戶端電腦的 IP 位址允許存取伺服器。
- 使用 SSH 存取伺服器的身份驗證 (例如,密碼、公開金鑰、憑證)。
- 可以存取伺服器的時間段(例如僅在工作時間內)。
允許伺服器使用的SSH或 RDP 通道的類型(例如,SSH 終端或轉換埠、RDP 檔共用等)。 上述規則可應用於連線及通道層控管。這樣可以將存取特殊通道的許可權限制在較小的權限管理原則-僅對真正需要的使用者提供存取服務。
四階段認證系統
四階段認證也可用於稽核,SCB可以使用多個金鑰來加密稽核追蹤。在這種情況下 ,需要使用多個解密金鑰來重播稽核追蹤,因此稽核員無法單獨存取有關網系統的所有資料。
即時告警&阻止
在檢測可疑使用者行為時,SCB可以執行以下措施:
錄影重播和全文檢索
SCB可將所有連線記錄存放到可搜尋的稽核資料庫中,以便在取證調查場景中輕鬆查找相關信息。 稽核追蹤紀錄可以線上瀏覽,或即時追蹤特權帳號的活動。稽核紀錄播放器,像錄影一樣重播錄製的會話-管理員的所有操作行為都可以在監視器上進行監控查看。 稽核追蹤透過內部索引或選用外部索引服務;可以在SCB_Web_GUI上搜索到想要的資料。強大的搜尋能力提供更方便的事後分析, 稽核人員可以透過搜尋表達式的詳細搜索結果和螢幕截圖進行查核。搜尋結果還可依相關性排列,系統提供許多強大的查詢類型樣板,支援多國語言。
稽核紀錄播放機在重播過程中啟用快轉來搜尋事件(例如,滑鼠按一下、 按Enter)和管理員看到的本文。還可以使用多平臺稽核重播應用程式(Balabit_Desktop_Player),更方便地進行調查和稽核。也可以大量稽核追蹤搜索,以查找包含特定資訊或事件的會話。SCB還可以為新的稽核追蹤執行搜索並自動產生報告。這些報告提供了有關遠端IT系統上使用者行為的詳細資料。此外,SCB還支援自訂報告和統計資訊,包括使用者自訂搜索結果的清單和圖表、稽核追蹤的內容及其他可自訂內容。為符合PCI_DSS的規定, SCB可以產生相關的合規報告。
檔案傳輸稽核
可靠的稽核
保留所有資料超過一年
完全整合
Transparent mode
Non-transparent mode
為了方便網路設定,SCB支援虛擬網路(VLANS)。在VLAN環境中,將合併透明和非透明操作:SCB可以同時管理非透明(Bastion模式)和透明(路由器模式)連接。
使用者目錄整合
整合特權帳號行為分析
Safeguard 的特權帳號行為分析,Blindspotter 是一個使 用者行為分析工具,整合了來自 SCB 的詳細資料,以及各種情境資料,並使用獨特的演算法進行處理,產生行為設定檔,不斷利用機器學習進行調整。透過異常行為偏差分析來檢測可疑活動,提供相關風險的告警及多種自行定義輸出格式。
除了上述整合之外,SCB 還提供通用的應用程式開發介面(API),以便與更多密碼管理系統整合。
特權身份管理系統整合解決方案
雲端部署
您可以使用自有憑證模式從Microsoft AzureMarketplace部署SCB。方便將稽核系統整合到虛擬化架構的進行存取控制。
與SIEM系統整合
SCB可與領先的安全信息和事件管理(SIEM)系統,HPArcSight和Splunk整合。SCB在兩套系統上都可使用,通過接收具有特權管理者的存取資料,可除了上述整合之外,SCB還提供通用的應用程式開發介面(API),以便與更多密碼管理系統整合。 以提昇SIEM的報告和警報能力。
簡單的管理
- 將SCB作為主機管理;
- 管理與伺服器的連接;
- 查看稽核追蹤和報告等
對SCB_WEB介面的存取可以限制為專用於管理連線的實體獨立網路。此管理介面還可用於備份、日誌記錄到遠端伺服器和其他管理連線。 存取WEB介面的使用者可以通過LDAP或RADIUS資料庫進行身份驗證。存取WEB介面的使用者可能需要強制執行x509 進行身份驗。 所有設定更改都會自動記錄,SCB還可以要求管理員在修改設定時添加注釋。SCB提供設定更改報告, 還可搜索修改的詳細資訊和說明,並可以從 WEB 介面流覽簡化對SCB的稽核。
硬體規格
SCB設備構建在高性能,高效能,可靠的伺服器上,可輕鬆安裝到標準機架安裝中。