特权账号零泄露:因事授权与权限审计的实战应用

互联网
2025
08/08
17:53
分享
评论

管理,应该是一个熵减的过程。管理的使命是让企业内部的生产力,甲乙丙多方的生产关系,遍布全球的生产资料能有序高效的运行。企业越来越多的使用第三方能力,比如,人力,财务,物流等等。买方往往会得到某个SaaS系统的账号。这些三方系统要融入企业现有的管理体系经常充满挑战。像IAM等认证授权系统的对接,审计粒度等。这些要求会让它们游离于体系之外,它们是无序的离散的。这带来了混乱,让系统熵增。

应该通过管理手段让他们变得有序,这需要工具。

1. 痛点

1.1.  互联网企业:不想把密码告诉别人但总是有临时授权的需求

众所周知,有些系统的账号是要法人注册的,小公司无所谓,一个老板仨员工,谁干都一样。而公司做大做强以后,各部门都很健全了,还让老板动手就挺尴尬。我有一个朋友小王,他是市场部总监,电商的账号在老板那里。有一天,老板对他说:“小王,你处理一下电商的那个投诉,我把登录的账号密码给你,你不要告诉其他人。”

小王总监说:“好的,老板,我亲自处理。”

从这个场景中我们可以感受到老板挺别扭,王总监也挺为难。对老板来说只要把账号密码给出去,就已经“泄露”了。而王总监本来可以把具体的工作安排给其他人做,但为保守秘密,只能自己做。

1.2.  政府单位和国企:因案授权缺乏工具,行为审计粒度不足

政府单位和国企购买的第三方服务账号有限,在系统内也是因案授权按需使用。这些系统根据业务的敏感度,管理员设置了不同的访问方式,有的可以直接访问,有的需要安装特定的VPN,有的还需要VPN+IP绑定。登录方式除了最常见的账号密码,手机短信,扫码之外,还有Ukey证书,生物信息登录等等。没有账号共享工具会影响办案办事效率。同时,在体系内把三方账号因案再授权时,对成员的使用行为缺乏细粒度的审计。

1.3.  外贸物流:每次分享完账号,就改一次密码

外贸物流企业日常订舱会经常访问五个网站,每个网站都有一个企业主体的账号,有几个员工专门负责。虽是专人专岗但有时也会需要临时把账号给其他人用,用完后老板都会手工改一下密码。不过依赖人工的都不太可靠,有时会忘记改,老板就会比较担心会不会有不专业的人士误操作。他的担心是有道理的,这些系统是企业的生命线,容不得有闪失。

从上面的几个案例中我们总结了账号资产管理的几个痛点。

1、  缺乏使用审计(误操作无法追溯)

2、  非授权使用(用户二次传播账号密码)

3、  缺乏管理流程(人员变动账号没有回收)

4、  工作效能低(使用条件苛刻,VPN和IP绑定,使用Ukey等)

2. 贝锐洋葱头是账号管理工具

2.1.  系统架构

企业需要一套内部的账号资产管理系统,用于规范企业内成员对各平台账号的使用。贝锐洋葱头提供了一个解决方案。它基于C/S架构,客户端是一个企业浏览器,服务器可以私有化部署也可以使用贝锐的SaaS服务。

2.2.  设计原则

基于4A原则(Account、Authentication、Authorization、Audit),成员执行登录操作,认证成功后获得相应的授权,授权包括他可以使用哪些第三方系统的账号。成员在使用这些账号访问对应的网站应用时, 他的访问行为会被审计。

2.2.1.  账号

对接组织现有的账号管理体系,如企业微信,钉钉,飞书,OpenLDAP, AD域等,洋葱头也支持格尔等政府单位常用的PKI系统。无论是将目录服务中的组织架构动态同步到洋葱头管理后台,还是半同步半手工建立组织架构,洋葱头SaaS版和私有化版均可以支持。

2.2.2. 认证

支持传统的账号密码认证,短信,扫码,OTP,OAuth2.0, SAML等常见的认证方式。

2.2.3.  授权

管理员在服务器端配置策略,下发给洋葱头执行。策略的下发对象是“用户” ,策略下发给用户A,可以理解为是对A的授权。当用户A登录洋葱头时,即获得相应的授权。

2.2.4.  审计

作为一套完整的toB系统,审计是必不可少的。在对用户授权之后, 用户访问业务网站时的操作会被审计。审计的粒度包括PUT, POST等请求明文,当用户有鼠标点击动作时还会进行截图存档。洋葱头的审计行为是明确的告知用户的,仅限于指定网站。用户在其他网站上的操作不会被审计。

2.3.  洋葱头的核心功能

洋葱头企业账号资产管理系统有以下核心功能。

2.3.1.  强审计

审计是企业管理闭环中不可或缺的环节,传统上企业会使用上网行为管理或终端安全管理产品。但随着TLS/SSL应用层加密的普及,端侧和网络设备已经很难审计到业务内容了。洋葱头在审计方面具有特殊的优势,它是浏览器,所有内容在浏览器呈现出来之后都是明文的。洋葱头可以对用户访问网站的行为进行细粒度的审计,包括PUT, POST, GET, HEAD等请求的明文,洋葱头还可以在用户点击鼠标时对屏幕进行截图。

审计策略是管理员下发的只能针对具体的业务网站,用户侧可以清晰的看到自己在访问哪些网站时被审计,当用户没有使用洋葱头时,或访问的是个人网站时,审计策略不会生效。这个特性在强审计之外有效保护了用户的隐私,避免功能被滥用。

2.3.2.    账号代填

企业购买的第三方系统大多需要通过浏览器访问,它们大多是web服务。通常,人们在访问这些第三方系统的网站时需要手工填写账号密码(这个账号即是本文所说的“账号资产”)。使用洋葱头后,管理员在控制台下发策略,将访问第三方系统“W”的账号授权给用户A。当用户A登录洋葱头访问“W”时将不再需要手工填写账号密码,洋葱头会帮用户代填,这个过程是由洋葱头根据策略自动执行的,洋葱头在代填密码时还会把密码遮罩起来,避免密码被用户A获得。用户不知道密码,也就不会泄露密码。同时,密码由管理员统一管理,也可以保证密码强度,密码定期更新等管理制度的执行。

2.3.3.  登录凭证分发

用户使用普通浏览器登录第三方系统的网站后,浏览器会在cookie,LocalStorage等位置存储token、用户id、设备ID等一系列登录凭证。管理员在使用洋葱头第一次登录成功后,洋葱头会把这些登录凭证上传到服务器。管理员在控制台通过策略把这些登录凭证授权给企业内部成员。当成员登录洋葱头时,洋葱头会根据策略将登录凭证同步到本地,用户访问第三方系统网站时自动处于登录状态。

2.3.4.  Ukey映射

一些第三方系统的网站在登录时需要使用Ukey, 账号是存储在Ukey中的。这种情况下账号代填功能无效。 同时,由于第三方系统的网站会通过浏览器检测本地的Ukey设备,即使远端的洋葱头浏览器获得了cookie等登录凭证,由于远端没有接入Ukey,也依然无法访问第三方系统的网站。洋葱头通过USB-over-IP技术,将本地的Ukey映射到远端洋葱头设备中,实现Ukey远程接入。这样,Ukey在物理上只需要接入一台设备,即可以远程授权给多台设备使用。

3. 洋葱头的价值

注:需要部署洋葱头私有化版本,使用时请遵守各平台协议。

在数字化、云化加速的今天,企业账号已不仅仅是一个登录入口,而是关乎业务安全、运营效率与合规责任的核心资产。

账密管理特权账号管控,从权限授权因案/因事授权、一事一授,管理的本质,就是将分散无序的账号资源纳入有序可控的体系中,实现从“熵增”到“熵减”的转变。

贝锐洋葱头,正是帮助企业构建这一秩序的关键工具。

它用精细化的权限控制、可追溯的行为审计、安全可控的账号共享,让每一次访问都有章可循,让每一个授权都有迹可查。当账号管理不再是隐患,而是生产力的一部分,企业才能真正释放数字化协作的潜能。

THE END
广告、内容合作请点击这里 寻求合作
免责声明:本文系转载,版权归原作者所有;旨在传递信息,不代表砍柴网的观点和立场。

相关热点

相关推荐

1
3