Cisco 致力于全面保护人类和非人类身份以保留实现可能性的机会
通过集中保护和审计人类用户和应用程序的特权访问,领先的网络提供商可增强安全性并提高运营效率
返回顶部
总结
Cisco 使用 CyberArk 身份安全平台提供员工所需的动态一键式特权访问权限,以便向客户提供和开发服务,并通过动态密钥管理策略来加快和保护 DevOps 管道。
公司简介
Cisco 是一家跨国数字通信技术公司,总部位于美国加利福尼亚州圣何塞。其业务足迹遍布全球 180 个国家/地区,根据其六大战略支柱提供服务:安全而敏捷的网络;混合式工作;经过优化的应用程序体验;端到端安全;未来的互联网;以及边缘能力。
员工数量:100,000 名
挑战
想象一下,确保全球最知名 IT 企业之一的客户、员工、资产和业务运营安全的责任有多么艰巨。这一责任由 Cisco 企业安全团队高级领导 Santosh Prusty 承担,也无疑是一项重大挑战。Cisco 在全球范围内拥有 100,000 名员工、数百家合作伙伴企业,以及为公司业务和 Cisco 客户提供支持的一千多款应用程序。
“几年前,我们发现了特权身份和访问管理方面的差距,”Prusty 解释道。“我们有一个单点解决方案,但关于谁在做什么缺乏治理视角,也没有任何监控能力。因此,我们想要寻找一种产品来弥补这些差距,同时满足我们未来的身份安全需求。”
50 多年来,Cisco 一直是全球大多数技术网络和商业 IT 基础设施的基石。但是,Cisco 和许多其他组织所面临的威胁格局不断发生变化,不仅仅有来自恶意软件和勒索软件的传统威胁,还有供应链攻击和日益重要的身份安全。
“过去十年间,在数字化、基础设施自动化和人工智能领域的变化,也改变了我们对整个威胁格局的看法,”Prusty 说道。“如果我们使用自己的基础设施,我们会感到安全,因为处于我们自己的防护范围之内。但随着企业的分散、员工采用远程办公方式和居家办公呈趋势上升,所有这些因素都极大地增加了从外部连接到我们企业网络的机会,那么我们该如何确保我们的身份不会遭到泄露呢?”
Prusty 引用了主要威胁格局报告持续显示的数据,74% 的漏洞包含人为因素,员工因出错、滥用特权、使用被盗的凭据或社会工程而牵涉其中。“我们的身份过去主要集中在我们的用户名和密码上,”Prusty 分享道。“如今的身份包括多种类型的凭据、我们的权限、我们的笔记本电脑,或我们工作所使用的任何其他设备。攻击面尤其巨大。不仅仅有人类身份;还有每个组织都需要保护、控制和管理的非人类身份。”
Cisco 将身份安全分为三大支柱:内部、外部和特权身份。但在特权用户会话监控方面存在差距。关于审计报告或谁在做什么,缺乏统一的视角。Cisco 是一家规模庞大的全球性组织,拥有众多不同的产品、服务和合作伙伴, 需要更好地自上而下了解其特权访问和身份资产,从而加强治理和控制。
解决方案
Cisco 决定使用 CyberArk 的产品和服务,因为 CyberArk 是久经考验且广受认可的身份安全和特权访问管理 (PAM) 领导者。该公司需要一种解决方案,将人类和非人类特权访问控制和身份结合到统一平台中,以便他们能集中审计哪些人员有权访问哪些信息,并提供相应保护。
Cisco 实施的 CyberArk 身份安全平台包括 CyberArk Privileged Access Manager 和 CyberArk Conjur Enterprise,并计划在不久的将来部署下一代 CyberArk Secrets Hub 和 CyberArk Dynamic Privileged Access 产品。Cisco 充分利用 CyberArk 的强大集成能力,不仅与其自有的 Multi-Factor Authentication (MFA) 解决方案 Duo 相集成,还与 SailPoint 和 Saviynt 等其他应用程序集成,进而实现了身份治理流程自动化,并简化了整个 DevOps 管道内的用户登录和应用程序所使用的密钥。CyberArk Conjur 托管在 AWS 中,用于整个企业范围内的混合和多云基础架构,以治理密钥管理。它让 DevOps 工程师经过一个简单的流程,即可将硬编码凭据替换为 API,以便于检索应用程序在整个 CI/CD(连续集成和连续交付)管道中执行其工作负载所需的密钥。
“我们为通过该计划取得的成就而备感自豪。CyberArk 身份安全平台帮助我们采用统一的解决方案,保护和管理人类与非人类身份。我们可保护 50,000 个人类特权身份,每月隔离并监控超过 25,000 个会话,每天生成超过一千小时的录制会话。从密钥管理的角度来看,我们保管和轮换应用程序使用的数万个凭据,每月管理超过 4000 万次的 API 密钥调用。” – Santosh Prusty,Cisco 企业安全团队高级领导
Cisco 是 AWS、Azure 和 GCP 等云基础设施的最大消费者之一,除了托管令人印象深刻的本地环境外,还可使客户成为真正的混合和多云公司。因此,他们需要一种身份安全解决方案,在各种云平台甚至内部环境中全面保护人类和非人类访问权限。
下一步将重点关注 CyberArk 身份安全平台的两个用例和功能:CyberArk Secrets Hub 可让开发人员使用他们熟悉的原生 AWS 和 Azure 密钥管理服务,从而提高运营效率并加快 DevOps 管道,同时安全团队会在 CyberArk 中集中管理和审计其应用程序的凭据。展望未来,Cisco 还将使用 CyberArk Conjur 构建云端便携式应用程序,提供云实例,并让用户能够管理和存储其 API 密钥、应用程序和数据库凭据。CyberArk Dynamic Privileged Access (DPA) 将使用基于属性的访问控制 (ABAC) 策略,在目标虚拟机或服务器上创建短暂的时限性访问,从而帮助减少与常设访问权限相关的操作空间和风险。安全团队将使用其首选的 RDP 和 SSH 客户端,并利用可感知风险的 Adaptive Multi-Factor Authentication (MFA),为管理员启用具有即时 (JIT) 访问权限的隔离连接。所有这些都无需代理或 VPN 来代理安全、隔离和受到监控的会话。
结果
CyberArk 为 Cisco 提供三大核心价值观:
- 一键式提供最终用户密钥管理,以改善业务运营。
- 监控和管理用户访问权限,以加强安全治理。
- 删除整个 DevOps 管道内的硬编码凭据,并为开发人员提供一种利用 API 调用检索密钥的简单方法,让他们能够专注于增值活动,从而提高他们的运营效率。
“现在,通过将一切整合到一个身份安全平台中,我们可从管理和运营视角有效地执行特权访问,”Prusty 透露道。“我们已经能够为管理员和开发人员提供一种安全灵活的方式,用于连接他们的资产。这使得 50,000 个特权账户受到 CyberArk 的保护,而且该平台每月要处理 4000 万次对 Conjur 的 API 密钥调用,这也是对我们的要求。我们还实施了多种自动化和集成,以期简化用户和应用程序的登入流程。登入流程过去要耗费数周时间。现在,我们能在几分钟内无缝地自动完成。”
CyberArk 的另一个优势是可见性和监控功能。“在 CyberArk 的帮助下,我们能够记录和存储所有会话,”Prusty 继续说道。“我们可以返回查看发生了什么,谁何时在哪个地区登录了多长时间。这为我们提供了可用于分析和审计的真正深入见解。”
Cisco 与 CyberArk 建立了战略合作伙伴关系。CyberArk Blueprint 和 CyberArk Success Plans 帮助双方制定了路线图,以持续落实可衡量的风险降低举措,为 Cisco 提高运营效率并共同努力执行。“在过去三年里,CyberArk 对 Cisco 给予了很大帮助,”Prusty 承认。“现在,我们计划发展我们的 CyberArk 身份安全平台,以充分利用 CyberArk 正在开发的一些新型高级解决方案。我们可将 CyberArk Dynamic Privileged Access 等产品引入 Cisco,并为数千位管理员用户提供即时访问权限而非常设访问权限,以显著减少攻击面。”
“使用 CyberArk Secrets Hub 将让我们在开发人员所在的地方与其见面。开发人员将使用云提供商的原生密钥管理工具,同时我们会在 CyberArk 中集中管理和审计他们的密钥。” – Santosh Prusty,Cisco 企业安全团队高级领导
Cisco 所面临的一项紧迫挑战便是供应商管理。“Cisco 与全球数百家供应链合作伙伴开展了合作,”Prusty 说道。“这些合作伙伴是 Cisco 业务的核心,因此我们希望确保他们取得成功。但是,我们必须考虑如何简化供应链合作伙伴的管理和治理,同时高效地为其提供他们所需的访问权限。与之相关的还有简化我们的技术支持和供应商团队与合作伙伴的工作方式,以实现无缝交易。这些都是我们向 CyberArk 寻求协助并予以解决的挑战。”
“CyberArk 正在努力开发一些重要的举措和解决方案,比如 CyberArk Secure Web Browser,不仅在整个平台上充分利用 AI,还可加强云安全和无密码访问,我们很高兴能参与这一旅程,”Prusty 总结道。“我们计划制定一种无密码策略,我很高兴看到 CyberArk 处于领先地位并仔细考量这一领域,我们很自豪能与其开展合作,以管理和治理我们的一些特定用例。”
主要优势
- 将特权访问和身份安全整合到一个平台
- 使用 Conjur 为企业处理每月 4000 万次的 API 密钥调用规模
- 保护 50,000 个特权访问账户
- 每月隔离和监控超过 25,000 个会话
- 每天录制超过 1,000 个小时的会话
- 实现了快速又安全的一键式访问业务系统
- 针对未来的挑战和改进提供安全路线图
与专家讨论
了解身份安全战略的关键要素
亲自了解 CyberArk 解决方案
确定身份安全之旅中的后续行动