管理和保護(hù)特權(quán)憑證對于企業(yè)組織降低風(fēng)險，并滿足合規(guī)性而言是至關(guān)重要的。企業(yè)組織需要對特權(quán)密碼管理解決方案的深度控制、覆蓋范圍和他們所提供的與企業(yè)云服務(wù)的匹配程度進(jìn)行評估。CA Technologies公司的特權(quán)訪問管理器針對上述三個維度提供了有效的管理，其提供了用于特權(quán)憑證管理的下一代解決方案，推動IT風(fēng)險的降低，提高了運(yùn)營效率，并通過支持傳統(tǒng)、虛擬和混合云基礎(chǔ)架構(gòu)來保護(hù)企業(yè)組織的投資。

挑戰(zhàn)

隨著虛擬化和云計算采用的日漸普及，使得一個古老的問題的重要性和復(fù)雜性日漸凸顯：有效的管理和保護(hù)特權(quán)帳戶的密碼?？缯麄€傳統(tǒng)基礎(chǔ)設(shè)施(網(wǎng)絡(luò)設(shè)備，服務(wù)器，大型機(jī)等)管理特權(quán)密碼，一直是一個長期的安全性和合規(guī)性問題。使問題進(jìn)一步復(fù)雜化的是大量的特權(quán)憑據(jù)硬編碼到應(yīng)用程序。這方面的憑據(jù)的例子是SSH密鑰配對和用于訪問亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)資源的PEM編碼密鑰。

機(jī)會

跨混合企業(yè)的特權(quán)憑證的有效保護(hù)，可以幫助一家企業(yè)組織減輕來自外部的攻擊和內(nèi)部人員的惡意行為所帶來的風(fēng)險。當(dāng)前的企業(yè)組織有機(jī)會通過采用特權(quán)訪問管理方法來獲得12項必備的功能，以降低審計失敗和違規(guī)風(fēng)險，以及高價值的數(shù)據(jù)丟失和昂貴的服務(wù)中斷的風(fēng)險。畢竟，所有這一切都可以追溯到特權(quán)帳戶未受到充分的保護(hù)。

效益

CA Technologies公司的特權(quán)訪問管理器對保護(hù)和管理能夠訪問各種資源的所有類型的特權(quán)憑據(jù)提供了一套全面的控制。不管其在哪里，并且是與當(dāng)今的混合云環(huán)境的步伐保持方式一致的，使企業(yè)組織能夠降低風(fēng)險，較大幅度的削減成本和操作的工作負(fù)載。其能夠提供其他方法所不具備的深度的控制、廣度的覆蓋范圍和與云計算的匹配一致。

第一部分：特權(quán)密碼管理的基礎(chǔ)

特權(quán)用戶密碼(以下簡稱特權(quán)密碼)是區(qū)別于普通最終用戶的密碼的，其能夠訪問到一家企業(yè)組織機(jī)構(gòu)最為敏感的資源——如即管理帳戶(如管理員、root根權(quán)限、SYS和SA)和相關(guān)的用于配置和控制一家企業(yè)組織機(jī)構(gòu)的IT基礎(chǔ)設(shè)施的功能。鑒于其可能涉及的風(fēng)險，故而對這些特權(quán)憑據(jù)進(jìn)行重要管理和保護(hù)是顯而易見的。同時，這也是由已經(jīng)大量被編入常用的安全標(biāo)準(zhǔn)和法規(guī)所驗證的相關(guān)要求所規(guī)定的，包括諸如《信息技術(shù)安全美國標(biāo)準(zhǔn) NIST Special Publication 800-53》和《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)》。

監(jiān)管要求之外，特權(quán)密碼管理不僅從風(fēng)險管理的角度來看是一個好的做法，其對于克服當(dāng)今企業(yè)組織常見的不安全的做法也是相當(dāng)必要的。強(qiáng)度弱、陳舊或暴露的密碼(例如，保存在一張便箋或電子表格上);密碼太多;密碼被共享;共享的賬戶沒有明確的歸屬;沒有選擇強(qiáng)認(rèn)證和沒有集中撤銷只是我們經(jīng)常會遇到的少數(shù)的問題。

真正的問題則在于，上述任何這些條件都可能潛在的導(dǎo)致成功的魚叉式網(wǎng)絡(luò)釣魚，有針對性的網(wǎng)絡(luò)攻擊，并最終導(dǎo)致企業(yè)數(shù)據(jù)盜竊，更不要說違反監(jiān)管法律規(guī)定。這還需要證明嗎?根據(jù)《Verizon公司2015年度數(shù)據(jù)泄露調(diào)查報告》顯示，95%的安全漏洞均可以追溯到身份訪問憑據(jù)被盜，而另外則有10%是由可信人員濫用身份訪問憑據(jù)所導(dǎo)致的。這一報告的結(jié)果已經(jīng)非常清楚的說明了為什么今天的企業(yè)組織需要充分利用一套企業(yè)級的解決方案，如CA Technologies公司的特權(quán)訪問管理器，以便進(jìn)行特權(quán)憑證管理、保護(hù)和訪問控制。

混合云的影響

上述傳統(tǒng)的問題歸類僅僅只是冰山一角。鑒于混合云配置令人信服的成本、適應(yīng)性和響應(yīng)性的優(yōu)勢——使得IT服務(wù)和應(yīng)用程序得以能夠跨企業(yè)和云數(shù)據(jù)中心這二者同時利用傳統(tǒng)和虛擬化基礎(chǔ)設(shè)施——導(dǎo)致混合云的應(yīng)用獲得了廣泛的普及必然是引人注目的。當(dāng)然混合云除了帶來了與其相關(guān)的各種益處之外，也為企業(yè)的特權(quán)密碼管理帶來了一些新的挑戰(zhàn)，包括：

更多的密碼容量/規(guī)模——鑒于企業(yè)經(jīng)營需求和虛擬機(jī)的輕松部署帶來了更多需要特權(quán)訪問的實體(因此，也就有了更多的特權(quán)密碼)

更大的范圍——隨著虛擬化和云管理控制臺的集中，增加一個新的特權(quán)資源/帳號類型到混合云

更大的添加活力——新的服務(wù)器/系統(tǒng)可以按需添加，不要說批量性的添加(例如，一次性添加10個、20個或更多)

創(chuàng)建潛在的身份島嶼——因為每款不同的云服務(wù)均有其自己的身份存儲和基礎(chǔ)設(shè)施

除了混合云所帶來的挑戰(zhàn)，IT安全管理人員在評估潛在的解決方案時，還需要考慮其他兩個方面的特權(quán)密碼管理問題。首先，他們需要考慮機(jī)器對機(jī)器或應(yīng)用程序到應(yīng)用(A2A)的情況，即一款系統(tǒng)或應(yīng)用程序使用密碼以訪問另一款系統(tǒng)或應(yīng)用程序，密碼被硬編碼在被訪問的應(yīng)用程序或在純文本配置文件中提供。所需考慮的第二項是經(jīng)常被忽略的問題，大多數(shù)企業(yè)組織也可能有成千上萬個密鑰(如SSH的部署)，雖然他們不是傳統(tǒng)的短語型密碼，但仍然作為特權(quán)帳戶的身份驗證憑據(jù)，因此，仍然需要進(jìn)行管理和保護(hù)，減少相關(guān)的風(fēng)險。

最終的結(jié)果是，在混合云時代，現(xiàn)在的特權(quán)密碼管理比以往任何時候都更加重要和復(fù)雜。

第二部分：來自CA Technologies公司的特權(quán)訪問管理解決方案

CA特權(quán)訪問管理器是一款全面的特權(quán)訪問管理解決方案。因此，除了能夠控制訪問、監(jiān)控和記錄特權(quán)用戶跨混合云環(huán)境的活動，CA特權(quán)訪問管理器還集成了下一代解決方案所需的特權(quán)密碼管理的功能。事實上，IT安全團(tuán)隊需要認(rèn)識到雖然憑他們本身的頭銜，管理和保護(hù)密碼是非常有價值的，其也有助于帶來更好的結(jié)果。特別是在更廣泛和同樣重要的對于進(jìn)入高風(fēng)險的資源實際控制和管理過程的最初的(或互補(bǔ)的)步驟中。如果在這里的區(qū)別似乎微妙，這主要是因為，在實踐中，認(rèn)證機(jī)制(即密碼)和訪問控制功能的實現(xiàn)很少涉及單獨一個，因此，他們往往在我們的頭腦中被混為一談。

在任何情況下，CA特權(quán)訪問管理器中的特權(quán)密碼管理功能的設(shè)計目標(biāo)與其他的那些解決方案是相同的。具體來說，我們的目標(biāo)是為客戶提供一款解決方案，不僅能夠提供一套全面的控制和一套全面的目標(biāo)和用例功能，同時還能夠與云時代的交付選項、實踐方法和架構(gòu)相一致。

綜合控制

當(dāng)涉及到評估特權(quán)密碼管理解決方案時，我們推薦首先考察該解決方案是否包含了一套全面的控制，以幫助企業(yè)客戶的安全團(tuán)隊克服由傳統(tǒng)方法所造成的創(chuàng)建、管理和使用敏感的管理憑據(jù)方面的風(fēng)險。具體考察的領(lǐng)域包括發(fā)現(xiàn)、Vaulting控制、政策執(zhí)行、檢索和支持無縫演進(jìn)到一個全功能的特權(quán)訪問管理實施的能力。

第三部分：特權(quán)訪問管理必須具備的12大功能

1、自動化/易于發(fā)現(xiàn)

如果沒有用于自動化或易于發(fā)現(xiàn)的一種手段，特權(quán)密碼所帶來的管理過程將會是相當(dāng)繁重的，更不用說各種錯誤或遺漏會使得一家企業(yè)組織的計算環(huán)境非常易于受到今天復(fù)雜的網(wǎng)絡(luò)攻擊?；谶@樣的原因，

CA特權(quán)訪問管理器中包含了多種用于發(fā)現(xiàn)設(shè)備、系統(tǒng)、應(yīng)用程序、服務(wù)和賬戶的方法，包括利用眾所周知的端口結(jié)合、目錄信息、管理控制臺和API。例如，CA特權(quán)訪問管理器利用可用的API支持虛擬化和云管理解決方案，以便創(chuàng)建新的虛擬機(jī)時，通知管理員。此外，該解決方案可以輕松地從文本文件批量導(dǎo)入系統(tǒng)列表，同時還能夠讓ad-hoc模式通過管理控制臺進(jìn)入。最后，了解我們已經(jīng)選擇了回避更具破壞性的(和潛在風(fēng)險較大的)基于目標(biāo)代理發(fā)現(xiàn)本地TCP堆棧的技術(shù)要求是“經(jīng)過了設(shè)計的”，也是非常重要的。

2、安全存儲/Vaulting

一個加密的vault提供了一個集中的控制點，并且是消除不安全的、使得分享和攻擊訪問憑據(jù)更容易的存儲方法(如電子表格)的關(guān)鍵。CA公司的特權(quán)訪問管理器vault是憑據(jù)安全的，一款FIPS(Federal Information Processing Standard，美國聯(lián)邦信息處理標(biāo)準(zhǔn)) 140-2 1級認(rèn)證標(biāo)準(zhǔn)的解決方案利用AES 256位加密來安全地存儲所有類型的訪問憑據(jù)，而不僅僅是密碼。該解決方案的其他引人注目的功能特點包括：

· 充分利用集成整合的硬件安全模塊(HSM)，如從SafeNet公司和Thales公司的模塊到包括了現(xiàn)場的FIPS 140-2 2級或3級部署。這對于高配置、需要規(guī)避風(fēng)險的客戶和使用案例是尤為重要的，如那些涉及到金融財務(wù)和銀行的系統(tǒng)，這類系統(tǒng)需要將加密的憑證與用于加密憑證的密鑰分別存儲。支持多種部署選項，包括CA的特權(quán)訪問管理器硬件設(shè)備自帶的PCI卡，CA特權(quán)訪問管理器虛擬設(shè)備調(diào)用網(wǎng)絡(luò)附加連接的HSM設(shè)備和任一類型的CA特權(quán)訪問管理器設(shè)備調(diào)用AWS的“HSM即服務(wù)(HSM-as-a-service)”產(chǎn)品。

· 實踐證明，白盒加密程序在保護(hù)加密密鑰的同時，自身也在系統(tǒng)上被使用(即在內(nèi)存中)。這種做法旨在防止黑客通過監(jiān)測標(biāo)準(zhǔn)加密API和內(nèi)存來抓取/拼湊密鑰，以及基于密鑰分塊或簡單的混淆密鑰來克服其替代密鑰拼湊的劣勢。這一技術(shù)的加入對于A2A使用案例尤其重要，因為A2A使用案例的訪問系統(tǒng)還必須“vault”憑證，其對于系統(tǒng)有更大的破壞潛力(例如，由于其是在一個相對暴露的位置)。

3、自動化的策略執(zhí)行

CA特權(quán)訪問管理器自動創(chuàng)建、使用和更改密碼，從而消除了密碼的重復(fù)使用或?qū)τ谌?易記)密碼的依賴。借助CA公司的特權(quán)訪問管理器，可以設(shè)置靈活的策略以強(qiáng)制實施復(fù)雜的密碼，執(zhí)行變更要求——如基于時間輪換的密碼(例如，每天或每周)或響應(yīng)特定事件(例如，每次使用后)和管理使用(例如，只允許在特定時間期間的訪問或需要雙/多授權(quán)的密碼訪問)。因為這些策略可以以分級的方式，并在目標(biāo)資源的群組被應(yīng)用，不僅可以有不同的要求，能力也可以被容納于不同的目標(biāo)，但他們的強(qiáng)制性的也有效地變成了動態(tài)，因為任何自動添加到群組的資源將自動繼承該群組的策略。在其背后，CA特權(quán)訪問管理器還與受影響的目標(biāo)資源直接交互，以提供所有憑證保持同步(即，當(dāng)他們在一端發(fā)生改變時，在另一端也將發(fā)生變化)。

4、安全檢索和演示/使用

如果其不能被安全地檢索和使用，那么，把特權(quán)憑證到vault是沒有意義的。在此過程中的第一步驟是準(zhǔn)確的搞清楚正在訪問/使用憑據(jù)的訪問者的身份驗證，或任何使用案例的應(yīng)用程序和腳本。在這方面，CA公司的特權(quán)訪問管理器充分利用您企業(yè)現(xiàn)有的身份管理基礎(chǔ)設(shè)施，整合Active Directory和LDAP兼容目錄，以及身份驗證系統(tǒng)，如RADIUS。還包括支持：

· 雙因素令牌(例如，通過CA高級身份驗證或其他來自RSA和SafeNet公司的類似身份驗證)

· X.509 / PKI證書

· 聯(lián)邦部門合規(guī)性的HSPD-12和OMB-11-11所要求的個人身份驗證和通用訪問卡(PIV / CAC)

· SAML

· 復(fù)合的多因素的技術(shù)(例如，使用RSA令牌與密碼的結(jié)合)

在優(yōu)選的操作模式中，CA特權(quán)訪問管理器隨后以訪問實體的形式(例如，用戶或應(yīng)用程序)呈現(xiàn)對于目標(biāo)系統(tǒng)的憑證請求。這種方式傳達(dá)一些額外的安全優(yōu)勢。首先，相對于簡單的簽入/簽出解決方案，憑據(jù)是訪問實體從未見過或分發(fā)到的。這大大降低了他們曝光的潛在可能性。另外，由于認(rèn)證到目標(biāo)系統(tǒng)是完全自動化的，用戶永遠(yuǎn)不需要處理/記住自己的密碼，實施的策略可以大大提高密碼的復(fù)雜性。因為所有對于目標(biāo)的訪問均是通過CA特權(quán)訪問管理器進(jìn)行的，該解決方案還可以提供特權(quán)用戶活動的全部屬性，甚至提供給共享的管理員帳戶。

為了完整起見，實體訪問之間的所有網(wǎng)絡(luò)通信也是值得注意的，CA特權(quán)訪問管理器和管理目標(biāo)都是SSL加密的。此外，CA特權(quán)訪問管理器支持另一種操作模式，從而使得訪問實體可以直接檢索，并在自己的系統(tǒng)提交目標(biāo)系統(tǒng)所需的憑據(jù)。

5、無縫過渡到完全特權(quán)訪問管理

CA特權(quán)訪問管理器最初只專注于密碼管理，而企業(yè)客戶需要做的一切就是是否以及何時意識到過渡到實施一套全功能的特權(quán)訪問管理的必要性。當(dāng)企業(yè)客戶在為充分利用這些優(yōu)勢做好準(zhǔn)備后，其IT安全部門所能夠享受到的一些較為顯著的功能包括：

· 基于角色和相關(guān)工作流程的訪問控制(例如，其他權(quán)限的請求/授權(quán))

· 與目標(biāo)資源自動連接/建立會話(支持RDP、SSH、Web和其他幾種訪問方式/選擇)

· 特權(quán)用戶會話的實時監(jiān)控，以及基于策略實施活動的允許/拒絕(例如，一個特定的用戶可以使用哪些命令)

· 日志記錄，包括基于SIEM整合的系統(tǒng)日志

· 完整會話記錄，具備類似DVR的回放功能一樣的直接跳到感興趣事件的功能

· 越級預(yù)防，防止用戶利用可訪問的目標(biāo)繞過他們的權(quán)限來訪問其他的、未經(jīng)授權(quán)的目標(biāo)

此外，實施這些額外的功能可能并不容易。CA特權(quán)訪問管理器將其所有的特權(quán)密碼管理和訪問控制功能作為一款緊密集成的解決方案提供。CA特權(quán)訪問管理器還跨整個解決方案提供統(tǒng)一的策略管理，即進(jìn)一步簡化實施和管理的方法。

全面覆蓋

當(dāng)為選擇一款特權(quán)密碼管理解決方案進(jìn)行評估時，所需考察的第二大關(guān)鍵領(lǐng)域是其所提供的覆蓋范圍。換句話說，對于上述的一整套身份憑證訪問控制，該解決方案到底支持什么類型的訪問實體，憑證和目標(biāo)系統(tǒng)?

6、傳統(tǒng)目標(biāo)的全面覆蓋

CA特權(quán)訪問管理器包含了一個廣泛的目標(biāo)系統(tǒng)連接器陣列，為所有類型的IT基礎(chǔ)設(shè)施、網(wǎng)絡(luò)設(shè)備、系統(tǒng)和應(yīng)用程序，提供了現(xiàn)成的集成，包括：

· Windows域、本地管理員和服務(wù)帳戶

· 熱門的Linux和UNIX發(fā)行版本

· AS / 400

· 思科和Juniper網(wǎng)絡(luò)設(shè)備

· 基于Telnet/SSH的系統(tǒng)

· SAP

· Remedy軟件

· ODBC/JDBC數(shù)據(jù)庫

· 系統(tǒng)和應(yīng)用程序服務(wù)器

作為一款可擴(kuò)展的解決方案，CA特權(quán)訪問管理器還提供靈活的定制功能，使企業(yè)客戶能夠支持更輕松地擴(kuò)展到專利和內(nèi)部開發(fā)的系統(tǒng)。

7、支持虛擬化和云管理控制臺

CA特權(quán)訪問管理器開箱即用的對于憑據(jù)管理和保護(hù)的功能覆蓋并不局限于傳統(tǒng)的目標(biāo);其也延伸到了流行的虛擬化和云計算解決方案，包括VMware vSphere、VMware NSX、亞馬遜Web服務(wù)和微軟在線服務(wù)。此外，適用于這些解決方案的該功能并不局限于與虛擬機(jī)、應(yīng)用程序或服務(wù)相關(guān)聯(lián)的單個實例。覆蓋率也延伸到相應(yīng)的管理控制臺，這是由于命令必須以其本身的能力被識別為特權(quán)資源。

8、支持機(jī)器到機(jī)器的認(rèn)證

正如前面所提到的，人類并不是唯一的特權(quán)憑證用戶。對于大多數(shù)企業(yè)組織而言，許多應(yīng)用程序和系統(tǒng)也需要訪問敏感的資源，如其他應(yīng)用程序或數(shù)據(jù)庫。這通常是通過將相關(guān)的憑據(jù)嵌入到訪問應(yīng)用程序的代碼或通過配置文件使其在運(yùn)行時能夠獲得訪問——這二者其實都不是一個特別安全或可管理的選項。CA的特權(quán)訪問管理器通過使得開發(fā)人員能夠?qū)⑤p量級CA的特權(quán)訪問管理程序客戶端植入到他們的應(yīng)用程序，來為這些A2A用例提供功能覆蓋。這種方法提供了“特權(quán)應(yīng)用程序”的一切，包括他們所需要注冊的CA 特權(quán)訪問管理器、動態(tài)檢索所需的密碼，以及隨后在本地系統(tǒng)的內(nèi)存中實施的保護(hù)。此外，多種機(jī)制可用來驗證特權(quán)應(yīng)用程序，并在CA特權(quán)訪問管理器中釋放要求憑證之前確認(rèn)其完整性。

通過為A2A方案利用CA特權(quán)訪問管理器，企業(yè)組織可以更有效地通過集中vaulting、自動化A2A憑證管理和政策的執(zhí)行，并簡化相關(guān)的審計、合規(guī)性活動來消除A2A憑據(jù)的暴露/不安全。

9、密鑰管理支持

除了支持加密操作，許多類型的密鑰也作為令牌，以確認(rèn)身份。雖然這樣的密鑰不是傳統(tǒng)意義上的密碼，他們?nèi)匀荒軌蛳衩艽a一樣操作，并仍然會受到類似的安全威脅，風(fēng)險和挑戰(zhàn)，如復(fù)制、共享、意外曝光和未經(jīng)審計的后門。由于這樣的密鑰通常是嵌入解決方案或透明使用在解決方案，以保護(hù)用戶避免相對的復(fù)雜性，他們也更容易被孤立和/或隨著時間的推移而增加。這是有道理的，其是為了適用于那些用來管理和保護(hù)密碼的同樣的控件，以及備用憑據(jù)。事實上，推薦的用來阻斷相關(guān)的威脅的最佳實踐包括：

· 移動授權(quán)密鑰到保護(hù)位置

· 定期輪換密鑰(確保密鑰泄露事件訪問的最終終止)

· 為授權(quán)密鑰執(zhí)行來源限制

· 為授權(quán)密鑰執(zhí)行命令限制

因此，CA特權(quán)訪問管理器具有控制和促使企業(yè)客戶考慮替換憑據(jù)類型的其他功能，包括SSH密鑰和用于訪問AWS資源和管理控制臺的PEM編碼密鑰。換言之，借助CA特權(quán)訪問管理器這些憑證可以是：(1)vaulted、(2)輪換，并且通過配置策略實施控制和(3)以最小的被盜或曝光潛在可能的方式被檢索和使用。

云時代的交付

在混合云時代，一個特權(quán)密碼管理解決方案成功的另一個主要限制因素是其適用性，這不僅僅是物理上的，而且還涉及到與云網(wǎng)絡(luò)的需求和能力的協(xié)調(diào)一致。

#10、企業(yè)內(nèi)部部署、虛擬機(jī)和基于云的交付選項

CA特權(quán)訪問管理器支持三種簡便的部署選項，以幫助企業(yè)保持跟上復(fù)雜的混合云架構(gòu)的步伐：

· 一款硬化的物理設(shè)備——在企業(yè)數(shù)據(jù)中心提供多種型號的傳統(tǒng)機(jī)架安裝

· 一個亞馬遜機(jī)器實例(AMI)——為部署亞馬遜EC2基礎(chǔ)設(shè)施進(jìn)行了預(yù)配置

· 一個OVF兼容的虛擬設(shè)備——為在VMware環(huán)境中部署進(jìn)行了現(xiàn)成的預(yù)配置

無論使用哪種部署選項，企業(yè)客戶均能夠獲得一種使他們得以管理整個混合云基礎(chǔ)架構(gòu)的解決方案。

11、云匹配的架構(gòu)和方法

CA特權(quán)訪問管理器架構(gòu)特意納入了許多功能，使其適用于混合云環(huán)境。包括以下三個實例：

· 自動發(fā)現(xiàn)和保護(hù)——在混合云環(huán)境中，運(yùn)營人員可以使用一個命令創(chuàng)建(或淘汰)任意數(shù)量的系統(tǒng)。針對這種情況，CA特權(quán)訪問管理器可以通過利用適用的API自動發(fā)現(xiàn)虛擬化和云計算的資源，然后配置(或撤銷)適當(dāng)憑據(jù)和訪問管理策略。

· 避免身份島嶼(即，身份聯(lián)合)——CA特權(quán)訪問管理器消除獨立的身份信息孤島的一種方式是通過充分利用一家企業(yè)組織已經(jīng)擁有的任何身份基礎(chǔ)設(shè)施。而另一方面，具體到AWS的部署，其是通過短暫的用戶支持的方法，使得企業(yè)組織不得不在AWS身份和訪問管理子系統(tǒng)保持獨立的身份信息。

· 啟用自動化——一款綜合的API允許編程訪問，并自動化實現(xiàn)所有的CA特權(quán)訪問管理器的功能(例如，外部管理和業(yè)務(wù)流程系統(tǒng))。

12、云就緒的可擴(kuò)展性和可靠性

特權(quán)憑證管理是一家企業(yè)組織IT基礎(chǔ)設(shè)施的關(guān)鍵組成部分。當(dāng)執(zhí)行被擴(kuò)展到支持以一個完全自動化的方式運(yùn)行的A2A用例時，尤其如此。為此，CA特權(quán)訪問管理器包括本地集群和負(fù)載分配功能，以滿足最大和最苛刻的環(huán)境的高可用性和可擴(kuò)展性的要求。較之普通的替代方案，借助CA的特權(quán)訪問管理器，企業(yè)客戶無需再投資于單獨的外部負(fù)載平衡器的必要了，沒有了典型的性能延遲，也無需購買額外“可選”的功能特點許可了。如果確實需要的話，由于響應(yīng)時間操作上可以接受，CA特權(quán)訪問管理器集群甚至可以跨地理上分散的數(shù)據(jù)中心和云計算環(huán)境配置冗余。

第四部分：結(jié)論：在云時代征服特權(quán)憑證管理

管理和保護(hù)特權(quán)憑證對于企業(yè)減少風(fēng)險，并符合相關(guān)的監(jiān)管要求是必不可少的。隨著混合云環(huán)境所帶來的管理控制臺所具有的前所未有的功能特點和僅僅只需點擊鼠標(biāo)就能實現(xiàn)數(shù)百款目標(biāo)系統(tǒng)添加/刪除的能力，這也成為了一個日漸復(fù)雜和日益重要的問題。

對于那些正在他們的信息安全戰(zhàn)略這一關(guān)鍵重要的領(lǐng)域?qū)ふ医鉀Q方案的企業(yè)組織而言，他們需要評估備選解決方案的深度控制能力，覆蓋范圍和對于云服務(wù)的匹配程度。正如本文中所討論的，CA公司的特權(quán)訪問管理器從這三個維度精準(zhǔn)的滿足了當(dāng)今企業(yè)組織的需求：設(shè)計旨在降低風(fēng)險、提高運(yùn)營效率、并通過支持傳統(tǒng)、虛擬化和混合云基礎(chǔ)設(shè)施以保護(hù)客戶投資的下一代特權(quán)憑證管理解決方案。