雲端託管服務供應商透過零信任與最低特權來提升效率及安全性
Netron網創資訊甫成立時,主要透過使用隱藏密碼、以及僅限於當下(Just-in-time)的存取權限,幫助客戶監管關鍵雲端基礎建設,下一步期望實現零常設特權(Zero Standing Privileges)目標
回到頂部
摘要
Netron網創資訊是一家雲端託管服務(MSP)供應商以及雲端顧問公司,自創立以來一直協助企業客戶強化其多雲策略與提供雲端安全服務。為因應日益增長的法遵需求,且一併滿足高特權帳號的安全管理需求,Netron網創資訊開始執行以最低特權為中心的全面性零信任策略。Netron網創資訊採用的是 CyberArk Privilege Cloud 與 Vendor Privileged Access Manager(Vendor PAM)。這些解決方案能夠簡化特權存取管理作業,幫助企業更符合 ISO 27001:2022 標準,同時降低營運成本。Netron 網創資訊也計劃採用 CyberArk Secure Cloud Access,在所有業務中採用零常設特權。
公司概況
成立於 2017 年的Netron網創資訊,是從資安服務起家的雲端顧問公司,曾締造諸多令人津津樂道的戰功,包括躋身亞太最大的 DDoS 緩解技術服務商,以及在 4 個月內成為 AWS 進階合作夥伴,接連通過 AWS MSP、MSSP、Migration 等多項認證。截至目前,Netron網創資訊代理逾 20 種國際品牌,為市場上少見的全方位一站式雲端顧問服務商。
挑戰
Netron網創資訊的強項在於多雲策略規劃與輔導,舉凡雲端遷移、架構規劃諮詢及雲端資安,皆在服務範疇內。
2023 年Netron網創資訊有感於雲託管業務量不斷增長,經常需要利用高權限帳號幫忙客戶執行代操作,自知這些行為必須經得起法遵的嚴格考驗,於是開始評估導入適用雲環境的特權存取管理(PAM)解決方案,歷經嚴謹測試,最終擇定引進 CyberArk Identity Security Platform 的兩個產品:CyberArk Privilege Cloud 與 CyberArk Vendor Privileged Access Manager(Vendor PAM),並且規劃未來引進 CyberArk Secure Cloud Access。
解決方案
Netron網創資訊資深技術協理王維揚表示:「啟用 CyberArk Privilege Cloud 與 Vendor PAM 後,讓Netron網創資訊快速輕易地落實特權存取管理,針對各種高特權級別的帳號,有效實施保護、紀錄,避免它們遭到濫用,」。隨著稽核與法遵要求日趨嚴謹,Netron 網創資訊也積極提升客戶的身分安全意識,並積極協助客戶導入 ISO 27001:2022;主要是因為新版標準對於紀錄留存、最小權限、雲端安全…等多方面皆有更明確的要求,很難沿用流程卡控或文件管理等傳統方式達到法遵目標。
有鑑於此,Netron網創資訊決定與 CyberArk 締結夥伴關係,以改善身分安全策略,並善用 CyberArk 的創新雲端安全解決方案,幫助客戶保護高特權使用者與關鍵雲端基礎建設。
得力於On-demand 開箱即用模式,加快上線時程
Netron網創資訊表示,當初Netron網創資訊規劃導入 PAM 策略,主要是意識到單憑過往人工管理高特權帳號的模式,恐難有效杜絕人為疏漏,也不足以保護特權憑證並提供堅強的稽核能力。因此決定導入商用 PAM 方案,一來降低維運(O&M)成本、確保有效管理營運,並且大幅提升安全性。
在尚未確定 PAM 採購標的前,Netron網創資訊已設定清楚的遴選方向,首先必須能針對雲上所有操作,逐一保留完整稽核紀錄。Netron網創資訊想要能做到溯源,明確勾稽到哪一位工程師在哪一個時間點、做一個什麼樣的操作。其次必須符合Netron網創資訊既有維運狀況,且完全滿足執行雲託管服務的各種安全性要求。
Netron網創資訊選擇 CyberArk 的原因
- 第一,因為它屬於 SaaS 形式,有助公司將資本支出轉為費用支出,獲得財務操作靈活性。
- 第二是看上 CyberArk Privilege Cloud 導入時間短,且對既有架構的影響甚小。王維揚進一步解釋,從價值驗證(POV)直到上線,實際只花不到三個月時間完成
- 第三,Netron網創資訊希望旗下工程師都能無縫與安全地存取雲端上的資料。CyberArk Vendor PAM 讓Netron網創資訊工程師能夠安全、原生且無縫地使用雲端服務供應商(例如AWS)的服務,這些供應商能提供Netron 網創資訊工程師僅限於當下的存取,並且監控與記錄這些存取活動。
CyberArk Privilege Cloud 與 Vendor PAM 都是 SaaS 產品,因此Netron網創資訊無需自建自維,不必涉足採購設備、規劃網路拓樸、制定防火牆策略等複雜與所費不貲的環節。
Netron網創資訊預設的保護標的,係以DBA、Linux Root、IAM Root 等高權限帳號為主。另針對維運團隊中各個不同角色,例如有的是管理員,有的負責檢視報表等等,都可善用 CyberArk Privilege Cloud 的權限分離功能,確保每個角色不會被授予過度權限,如看報表的同仁無權異動或開關機,管理員無權存取財務或人資等機敏資訊。
Netron網創資訊旗下的遠距員工負責支援數量不定的專案,因而需要能夠不受地點限制,隨時建立與刪除使用者帳號。CyberArk Vendor PAM 幫助Netron網創資訊的安全團隊建立特定時間長度的僅限於當下(Just-in-time)存取以及有限的權限,使用完畢就撤銷。另外也搭配啟用自適應多因子驗證(MFA),有助於使用者不需使用 VPN、代理程式(Agent)或密碼,就能快速且安全地存取其目標系統。
成果
縱使維運工程師異動,亦無需費時重置密碼
啟用 CyberArk Privilege Cloud 至今,已為Netron網創資訊帶來許多顯著成效。譬如當維運工程師異動,以往公司為遵循 ISMS 規範,須以手工重置少則二三十組、多則七八十組密碼,耗費可觀人力成本。採用 CyberArk Privilege Cloud 後,由於密碼不揭露,即使維運工程師離職,僅需停用此人帳號即可,不必耗時進行密碼重置。
另外當Netron網創資訊取得客戶授權,必須代替客戶在雲平臺上執行刪機器等敏感性操作,以往欠缺好的機制可完整記錄整個過程;如今工程師能使用 CyberArk Vendorm PAM,同時拜後端執行的 CyberArk Privilege Cloud 所賜,確保其在雲端 Console 的一切登入、操作、點擊,都可分離、監控並且完整側錄。
「Netron網創資訊是一家新創公司,知名度仍待提升。經由採用國際知名的 CyberArk 身分安全解決方案,有助於Netron網創資訊贏得顧客的信任」Netron網創資訊表示,當客戶聽聞Netron網創資訊藉助 CyberArk 產品實施特權管理,便對Netron網創資訊投以更高信任。再來對公司內部的技術支援及維運面來說,亦因採用 CyberArk 產品而提升 20~30%效率,無需費時重置密碼、或擔心稽核紀錄完整性不足。
內銷轉出口,幫助更多企業強化雲端資安
Netron網創資訊一路走來不論執行雲遷移顧問或 MSP/MSSP 託管,都奠基在雲原生邏輯,故更能理解雲端世界應有的「零常設」概念,意即不需授予常駐型 Admin 或 Root 帳號,而是依據不同角色的當下需求、給予不同權限,且只給恰到好處的權限。因此Netron網創資訊不會拘泥在地端稽核紀錄、調
用審批或跳板代登等制式思維,更容易採用現代以 SaaS 為基礎的 PAM 方案,搭配自身建置與使用經驗,得以形成強大顧問能量,後續便順著「演而優則導」發展脈絡,從 CyberArk 的客戶角色跨界成為經銷夥伴。
Netron網創資訊指出,其實雲上的操作方式不僅有 Console,還有 API、CLI 指令等控制方法;一旦善用 CyberArk 多元產品,就更能促進操作維運的現代化,展現更佳的資安控制力。著眼於此,Netron網創資訊正在評估啟動第二階段專案,使用與分銷 CyberArk 的 Secure Cloud Access(SCA),而其維運團隊成員都已預先學習與熟悉此產品,也都對此產品感到驚艷。
CyberArk SCA 可協助Netron網創資訊加強保護自身的雲端資產、以及所有客戶的雲端資產,嚴格控管相關雲端控制台與CLI的一切存取權限。CyberArk SCA 將允許工程師在不影響團隊工作流程下,以原生方法建立存取權。零常設特權能降低風險,且不會影響身分識別等現行雲端存取方式。
今年五月時,舊版 ISO 27001 全面到期,驅使企業必須開始導入 ISO 27001:2022,此時Netron網創資訊著手提供對應的轉版或導入服務,因應新的規範,即需採取不同的控制措施。而 CyberArk Privilege Cloud 與 SCA 等產品,就很適合派上用場,讓Netron網創資訊能協助新創的雲原生公司、或正要啟動上雲的成熟企業,順利通過 ISO 27001:2022 認證,連帶有效防範雲端場域的資安風險。
關鍵效益
- 提升營運效率:自動化的身分驗證資訊存放、輪換以及特權管理,能降低勞動成本並提升效率。
- 提升知名度:使用 CyberArk 如此國際知名的身分安全解決方案,能提升Netron網創資訊的知名度,並且贏得客戶信任。
- 精確的存取權控制:CyberArk 的解決方案提供詳盡的特權區隔,確保沒有任何角色獲取過多特權。
- 滿足稽核與法遵規定:CyberArk 協助Netron網創資訊符合嚴苛的稽核與法遵規定,包括 ISO 27001:2022
- 禁得起時間考驗:CyberArk的Secure Cloud Access(SCA)等創新解決方案,協助Netron網創資訊為未來的挑戰做好準備,並且建立更穩固的資安實務
聯絡專家
瞭解身分安全策略的關鍵組成部分
率先瞭解 CyberArk 解決方案
確定身分安全旅程中的後續步驟