Cisco 透過全面保護人類和非人類身分來保護通往可能性的橋樑

領先的網路提供者透過集中保護和稽核人類使用者與應用程式的特權存取，來增強安全性並實現營運效率

回到頂部

總述
公司概況
挑戰
解決方案
結果
主要優勢

聯絡銷售部門

總述

Cisco 使用 CyberArk 身分識別安全平台來提供員工所需的動態一鍵式特權存取，以便為客戶提供和開發服務，並透過動態存取鑰匙管理策略加速和保護 DevOps 管道。

公司概況

Cisco 是一家總部位於美國加州聖荷西的跨國數位通訊技術公司。它在全球 180 個國家/地區開展業務，在六大戰略支柱下提供服務：安全、敏捷的網路；混合式工作；最佳化的應用程式體驗；端對端安全性；面向未來的網際網路；以及在邊緣的功能。

員工人數：100,000

挑戰

想像一下保護全球最知名 IT 企業之一的客戶、員工、資產和業務營運安全的責任。這項責任由 Cisco 企業安全團隊資深領導者 Santosh Prusty 承擔，挑戰是巨大的。Cisco 在全球擁有 10 萬名員工、數百家合作夥伴企業以及支援企業和 Cisco 客戶的一千多個應用程式。

「幾年前，我們研究了我們在特權身分和存取管理方面的差距，」Prusty 解釋道。「我們有一個單點解決方案，但沒有關於誰在做什麼的治理檢視，也沒有任何監控功能。因此，我們正在尋找一款產品來填補這些空白並滿足我們未來的身分安全需求。

50 多年來，Cisco 一直是全球大多數技術網路和商業 IT 基礎結構的基石。但 Cisco 和許多其他組織所面臨的威脅情勢正在發生變化，不僅是惡意軟體和勒索軟體的傳統威脅，還有供應鏈攻擊和日益重要的身分識別安全性。

「過去十年來，數位化、基礎結構自動化和人工智慧的變化改變了我們看待整個威脅情勢的方式，」Prusty 說。「如果我們使用自己的基礎結構，我們就會感到安全，因為它在我們自己的周邊內。但隨著企業分散、遠端員工以及居家工作的增加，所有這些都大大增加了從外部到我們網路的連接，那麼我們如何確保我們的身分不會被洩露？」

Prusty 引用了主要威脅情勢報告多次呈現的內容，74% 的洩露行為涉及人為因素，人們因錯誤、特權濫用、使用被盜憑證或社會工程而參與其中。「我們的身分過去主要集中在我們的使用者名稱和密碼上，」Prusty 分享道。「現在身分包括多種類型的憑證、我們的權限、我們的筆記型電腦或我們用於工作的任何其他裝置。攻擊面很大。不僅僅是人，每個組織都有需要保護、控制和管理的非人類身分。」

Cisco 將身分安全分為三大支柱：內部、外部和特權身分。但特權使用者連線存取監控方面存在差距。沒有稽核報告或關於誰在做什麼的集中檢視。Cisco 是一家大型全球性組織，擁有許多不同的產品、服務和合作夥伴。它需要更好地自上而下地瞭解其特權存取和身分財產，以加強治理和控制。

解決方案

Cisco 決定使用 CyberArk，因為它是身分安全和特權存取管理 (PAM) 領域經過驗證和公認的領導者。該公司需要一個解決方案，可以將人類和非人類的特權存取控制和身分結合到一個統一平台中，以便他們可以集中稽核和保障誰有權存取什麼內容。

Cisco 實施的 CyberArk 身分識別安全平台包括 CyberArk Privileged Access Manager 和 CyberArk Conjur Enterprise，並計劃在不久的將來部署新一代 CyberArk Secrets Hub 和 CyberArk Dynamic Privileged Access 產品。Cisco 利用 CyberArk 強大的整合功能與 Cisco 自己的多重要素驗證 (MFA) 解決方案 Duo 整合，並與 SailPoint 和 Saviynt 等其他應用程式整合，以自動化身分治理流程，並簡化整個 DevOps 中應用程式使用的使用者和存取鑰匙的上線。CyberArk Conjur 裝載於 AWS 中，用於整個企業範圍的混合及多雲端基礎結構，以進行存取鑰匙管理。它為 DevOps 工程師提供了一個簡單的流程，可以用 API 取代硬編碼憑證，擷取應用程式在整個 CI/CD（持續整合和持續交付）管道中執行工作負載所需的存取鑰匙。

「對於我們這個計畫所取得的成就，我們感到非常自豪。CyberArk 身分識別安全平台幫助我們在一個統一解決方案中保護和管理人類與非人類身分。我們保護 50,000 個人類特權身分，每月隔離和監控超過 25,000 個連線存取，每天產生超過 1,000 小時的連線存取記錄。從存取鑰匙管理的角度來看，我們保管和輪換應用程式使用的數萬個憑據，並每月管理超過 4,000 萬個 API 存取鑰匙呼叫。」 – Cisco 企業安全團隊資深領導者 Santosh Prusty

Cisco 是雲端基礎結構（包括 AWS、Azure 和 GCP）的最大消費者之一，此外還擁有令人印象深刻的內部部署環境，使其成為真正的混合和多雲端公司。因此，他們需要一款身分安全解決方案，能夠全面保護各個雲端平台甚至是內部部署的人類和非人類存取。

接下來將著重於 CyberArk 身分識別安全平台的兩個使用案例和功能：CyberArk Secrets Hub 將使開發人員能夠使用他們熟悉的原生 AWS 和 Azure 存取鑰匙管理服務，同時安全團隊在 CyberArk 中集中管理和稽核其應用程式憑據，從而提高營運效率並加快 DevOps 管道的速度。展望未來，Cisco 還將使用 CyberArk Conjur 建立雲端可攜式應用程式、佈建雲端執行個體，並讓使用者能夠管理和儲存其 API 金鑰存取鑰匙、應用程式和資料庫憑證。CyberArk Dynamic Privileged Access (DPA) 將透過基於屬性的存取控制 (ABAC) 原則，在目標虛擬機或伺服器上建立臨時的、有時限的存取權限，從而幫助減少與常設存取權限相關的營運足跡和風險。安全團隊將使用其偏好的 RDP 和 SSH 用戶端，以及利用風險感知適應性多重要素驗證 (MFA)，為管理員啟動具有即時 (JIT) 存取權限的隔離連線。所有這些都不需要代理程式或 VPN 來協調安全、隔離和受監控的連線存取。

結果

對於 Cisco，CyberArk 提供了三大核心價值：

透過一鍵佈建終端使用者存取鑰匙管理來改善業務營運。
透過監控和管理使用者存取來增強安全治理。
移除整個 DevOps 管道中的硬編碼憑據，並為開發人員提供一種利用 API 呼叫擷取存取鑰匙的簡單方法，從而提高開發人員的營運效率，使他們能夠專注於增值活動。

「現在，透過將所有內容整合到一個身分識別安全平台中，從管理和營運角度來看，我們可以有效地實現特權存取，」Prusty 透露。「我們已經能夠為管理員和開發人員提供一種安全、靈活的方式來連接他們的資產。最終結果是，CyberArk 保護了 50,000 個特權帳戶，並且該平台每月處理 4,000 萬次對 Conjur 的 API 存取鑰匙呼叫，這是我們的一項需求。我們還實現了多種自動化和整合，以簡化使用者和應用程式的上線。上線過去需要數週時間。現在我們可以在幾分鐘內無縫、自動地完成此過程。」

CyberArk 的其他優勢之一是可見性和監控。「使用 CyberArk，每個連線存取都會被記錄和儲存，」Prusty 繼續說道。「我們可以回過頭來回顧發生了什麼事、誰登入了、在哪個地區、何時登入、登入了多長時間。這為我們提供了真實的見解來進行分析和稽核。」

Cisco 已與 CyberArk 建立策略合作夥伴關係。CyberArk Blueprint 和 CyberArk Success Plans 幫助雙方制定了路線圖，以持續實現可衡量的風險降低並提高 Cisco 的營運效率，並共同執行。「在過去的三年裡，CyberArk 是 Cisco 的一大助力，」Prusty 承認。「現在我們計劃發展我們的 CyberArk 身分識別安全平台，以利用 CyberArk 正在開發的一些新的進階解決方案。我們可以將 CyberArk Dynamic Privileged Access 這樣的產品引入 Cisco，並透過為數千名管理員使用者提供即時存取權限（而不是常設存取權限）來顯著減少攻擊面。」

「使用 CyberArk Secrets Hub，開發人員可以在自己所在的位置與我們見面。開發人員將使用雲端提供者的原生存取鑰匙管理工具，而我們則在 CyberArk 中集中管理和稽核他們的存取鑰匙。」- Cisco 企業安全團隊資深領導者 Santosh Prusty

Cisco 面臨的一項緊迫挑戰是廠商管理。Prusty 表示：「Cisco 與全球數百個供應鏈合作夥伴合作。這些合作夥伴是 Cisco 業務的核心，因此我們希望確保他們成功。但我們必須考慮如何簡化供應鏈合作夥伴的管理和治理，並有效地為他們提供所需的存取權限。與此相關的是簡化我們的技術支援和廠商團隊與我們的合作夥伴合作的方式，以實現無縫交易。我們正在與 CyberArk 協商以解決這些挑戰。」

「CyberArk 正在開發一些重大計畫和解決方案，例如 CyberArk Secure Web Browser，在整個平台上利用人工智慧，增強雲端安全性和無密碼存取。我很高興能成為這趟旅程中的一部分，」Prusty 總結道。「我們正在制定無密碼策略，我很高興看到 CyberArk 處於領先地位並對此進行了思考，我們很自豪能夠與他們合作來管理和治理我們的一些特定用例。」