访问控制（保险箱）

在本会议结束时，您将能够：
• 描述Vault模型

• 描述一下什么是保险箱
• 描述设计安全模型的关键标准

议程 • 描述基本的访问控制概念和安全权限

Safes创建和管理
• 添加安全成员，并为其分配权限

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

 概述
• 保险库模型

• 什么是安全的

• 查看保险箱

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

 在谈到网络方舟金库时，我们
使用了银行的比喻： 库 加密、防火墙、审核和身
份验证
• 首先，你要向银行出纳员证明你
自己的身份

• 然后你用你的钥匙进入你的保险 保险箱 授权
箱

• 然后你就可以访问盒子
里的所有东西了
密码 政策

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

• 访问控制决定了谁可以从哪里访
问信息

• 网络方舟通过在保险箱中存储
特权身份来管理访问控制，只
允许授权用户访问

• 用户对保险箱的访问通常适用于
该保险箱内的所有对象（密码）

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

cyberark.com
• 数据库中的容器，主要是特权
帐户
• 管理对特权帐户的访问控制的基础

• 保险库和网络柜组件有保险箱来存
储他们的数据和文件

可以手动创建或手动创建
通过编程方式（例如，通过REST AP
I）

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

cyberark.com
 保险箱存储在保险库中，可以通过多种不同的方式来查看。

PVWA

隐私柜客户端
保险库文件系统
7

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

cyberark.com
 设计安全模 在本节中，我们将讨论设计安全模型的主
型 要考虑事项

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

 开发一个用于如何通过满足组织需求的授权模型在Safes中存储密
码的系统。

• 没有一个通用的“安全模型”适合所有的网络方舟
实现
• 定义一个安全的模型是一个单独的、特定于实现的过
程，最好在规划阶段中定义
• 客户通常与实现团队一起工作，在实现期间创建安全模
型

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

 谁需要访问存储在保险库中  内部（e.g.Employees）或外部用户(e.g.
的数据？ Partners、承包商等）

存储在保险库中的数据的安
葹 ，信息、生产、开发、测试等。
全级别是多少？

谁不能看到特定类型的  是否有任何类型的数据需要面向某些用户，而不
数据？ 是其他用户？

是否应该适用于额外的访问限
制  多个中央策略管理器、系统负载、法规
（具体）对象？
10

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

安全限制
安全名称被限制为28个字符

• 对于基于波士顿数据中心运行Windows的人
力资源生产服务器上的本地管理帐户：

P-BOS-SRV-WIN-LAD-HR

• 对于运行Linux的纽约数据中心中的财务部
门测试服务器：
T-nyc-srv-lin鳍

11

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

安全限制
由于性能原因，存储在保
险箱中的对象数量应限制
在20,000个

• 这包括不同版本的密码

• 存储在保险箱中的帐户
或文件的建议数量在3
000-5000个之间

12

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

cyberark.com
 13

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

 访问控制 在本节中，我们将讨论如何管理对特权身份的访
问控制
网络方舟

14

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

 ► 对象应该按照“最小值”的原则存储
在保险箱中
特权
► 如果用户不需要访问密码，则他们不
应该访问包含密码的安全箱

单独的保险箱：

– 窗口桌面帐户
– 窗口本地管理员
– 窗口域帐户
PVWA使安全的结构
对终端用户来说基本上是不可见的，
15
所以不要为了他们而过于简化
版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com
 • ACME公司希望在网络方舟上加入以下账户：

-50个Windows服务器本地管理帐户
-10个Oracle系统管理员帐户
• 10个Windows服务器托管Oracle数据库
（40个Windows服务器不托管Oracle数
据库）。
• Windows团队需要能够访问所有Windows服务
器的本地管理帐户
• Oracle团队需要能够访问托管Oracle数据库和
样例 Oracle数据库登录帐户（系统管理员）的Win
dows服务器上的所有本地管理帐户
ACME公司
你将创建多少个保险箱？
哪个团队将访问哪些保险箱？ 16

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

cyberark.com
50个Windows服务器，其中10个托管Oracle数据库

赢得服务
40
50个窗口
服务器帐户 窗口团队

10 温斯尔沃拉

10个系统管理 10
DB-ORA Oracle团队
员帐户

17

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

 颗粒安全权限

18

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

通过分配给个人成员的权限来
管理对帐户及其密码的访问

保险箱

19

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

cyberark.com
• 在“安全详细信息”视图中
，我们可以看到已被授予访
问此安全文件的权限的用户
和组。
如果我们有
对于适当的权限，我们还可
以向安全区添加新成员，并
为它们分配权限。

20

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

cyberark.com
• 拥有“列表帐户”权限的用户可以
在保险箱中查看这些帐户

• 具有使用帐户和列表帐户权限的用户
可以使用安全箱中的帐户通过PSM登
录到远程计算机

关系
• 具有检索帐户和列表帐户权限的
用户可以查看帐户密码并复制它

21

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

cyberark.com
• 帐户管理权限使用户能够执行以下任
务：
-添加帐户
– 编辑帐户
– 通过CPM启动帐户管理操作

– 重命名帐户
– 删除帐户
– 解锁帐户

22

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

cyberark.com
• 具有管理安全”权限的用户可以
修改一些安全属性

• 具有“管理安全成员”权限的用户可
以向中添加或删除其中的用户和组，
包括Vault用户和外部LDAP用户

保险箱和指定其安全授权

23

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

cyberark.com
• 具有授权帐户请求权限的用户可以在
需要双控制时，向请求进入安全帐户
权限的安全成员进行“确认”。

• 拥有未经确认权限的访问安全的用户
可以在没有确认的情况下访问安全（
即使启用了双控制）。

24

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

cyberark.com
 授予最终用户访问保险箱的权限
授予管理器对保险箱的访问权限

赢得服务

温斯尔沃拉

DB-ORA

25

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

• 在私人方舟客户端和PVWA中
使用的术语有一些不同

• 私人方舟客户
-所有者列表
– 文件夹
• PVWA
– 成员列表
-帐户
26

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

cyberark.com
 创建和管理安全 在本节中，我们将讨论：
• 使用保险箱的目的
套件
• 创建新的安全
• 分配安全权限
• 保险箱和平台之间的连接

27

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

 请向主策略中添加
审查/编辑主 创建平台 例外情况
添加
创建保险箱
策略 账户
基于平台

• 业务/审计规则 • 管理技术设置 沙痂的例外情况 沙巴州接入控制 沙痂个体对象

主策略规则 包含所需的信息（地址
管理密码的 例外情况 、用户名、密码等）。
全局策略设 的密码基 要管理特权帐户
•
置 础
•

28

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

 • 并不是所有的用户都有权添加保险箱
• 保险库管理员和安全管理器拥有此权限

29

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

cyberark.com
 当添加一个新的保险箱时，
用户将被要求提供：
一个独特的安全名称
Subark可选的描述
• 用于存储密码版本的
策略
• 由CPM来管理保险箱。

其他注意事项：
• 安全名称不能超过28个字
符
• 不建议使用对象级访问控
制 30

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

cyberark.com
 • 创建安全后，您可以使用“添加成员”按钮访问安全箱的内容

31

版权所有： 2021网络方舟软件有限公司。保留所有权利 cyberark.com

cyberark.com
。
可以从活动目录或保险库中搜索用户或组并添
加为成员
• 默认情况下，将分配成员具有以下权
限：
– 使用帐户
– 检索帐户
– 列出帐户
-查看审核日志
-查看安全成员

• 除主用户外，可以修改所有用户的权限

32

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

cyberark.com
 33

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

cyberark.com
• 使用AllowedSafes参数，您
可以将特定平台的范围限制
为只有那些与正则表达式模
式相匹配的Safes

• 例如，与LIN SSH 30平台相

关联的帐户只能存储在以字
符串“Lin-”开头的保险箱
中

• 这将有助于提高CPM的性能和
简化管理任务 34

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

cyberark.com
 总结

35

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

总结
在本届会议中，我们讨论了：
保险库模型什么
是安全的

设计一个安全的模型的关键标准

基本的访问控制概念和安全权限

如何创建和管理安全文件如何添加安
全成员并为他们分配安全权限

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com

 您现在可以完成以下练习：

保护窗口域帐户
• 安全管理，创建一个
安全的，添加安全的
成员

练习 37

版权所有： 2021网络方舟软件有限公司。保留所有权利。 cyberark.com