特权访问管理 （PAM） 是指一组 IT 安全管理原则，可帮助企业隔离和管理特权访问、管理特权帐户和凭据、控制谁可以获得对哪些端点的管理访问权限级别，并监视用户对该访问权限执行的操作。

什么是特权访问

特权访问是一种 IT 系统访问，它向访问持有者授予特殊权限。具有特权访问权限的用户可以执行标准用户无法执行的操作。通常符合特权操作条件的操作包括修改服务器设置、更改密码、访问业务数据系统、安装新程序、运行关键服务、添加用户配置文件、执行维护活动和更改网络配置。

当今的企业 IT 团队在很大程度上依赖于称为特权帐户的关键用户帐户，为用户提供对网络中各种信息系统的特权访问。虽然特权帐户仍然是当前 IT 环境中特权访问预配的首选，但其他很少使用的选项包括生物识别身份验证和智能卡。

在某些情况下，组织完全保护物理服务器、工作站、数据中心设备或任何包含敏感信息的系统，然后禁止直接访问该计算机。在这种情况下，对计算机的直接物理访问意味着用户具有特权访问权限。

什么是特权用户

特权用户是指通过拥有一个或多个特权帐户或任何其他访问模式，有权提升对部分或整个 IT 基础结构网络的访问权限的用户。

通常已知的特权用户包括 IT 工作人员，如系统管理员、网络架构师和管理员、数据库管理员、业务应用程序管理员、DevOps 工程师和其他 IT 主管。有时，帮助满足公司IT运营或业务需求和维护的第三方承包商也可能可以访问公司的网络。

通常，特权用户是特定类型的企业 IT 用户，其他 IT 用户包括标准用户和高级用户。

企业 IT 用户的类型

• 标准用户：这些是拥有非强大帐户的常规用户，可以每天访问业务应用程序以执行日常操作。标准用户通常无法访问任何敏感信息系统。
• 高级用户：与标准用户相比，高级用户具有一些额外的权限。一个常见的例子是帮助最终用户工作站管理的内部 IT 员工。此类用户将获得边际帐户访问权限提升，该提升为他们提供特定权限，例如远程访问本地工作站和数据库。
• 特权用户：这些是您最重要的用户。特权用户的数量通常有限。它们对 IT 环境的风险最高，需要全天候监控。

什么是特权帐户

与非特权帐户相比，特权帐户是具有提升用户权限的企业帐户。特权帐户可以是人工帐户、基于应用程序的帐户（例如用于自动操作的计算机到计算机或应用程序到应用程序帐户）或服务帐户。

使用特权帐户，用户可以执行他们无法执行的功能和访问资源。这包括访问和修改敏感服务器、应用程序、数据库和其他业务关键型端点。

什么是特权凭据

特权凭据是特权用户用来访问敏感帐户、服务器、数据库、应用程序和其他敏感终结点的凭据。除了密码之外，特权凭据还包括机密，例如 SSH 密钥、API 密钥、令牌和证书。

现在我们已经对 PAM 基础知识有了基本的了解，让我们来看看特权访问管理的工作原理。

特权访问管理如何工作

特权访问管理是将具有提升访问权限（也称为特权访问权限）的选定用户委托给对其工作职能至关重要的业务关键型资源、帐户和凭据的过程。对于特定于任务的访问权限，任务完成后，将撤销提供给用户的访问权限。

换句话说，通过特权访问，特权用户可以访问特权帐户、凭据、系统、服务器、数据库等，以执行重要任务，包括管理和修改这些帐户和资源。特权访问管理是治理和管理此访问的过程。

尽管提供特权访问对于允许员工执行关键工作职能很重要，但它也涉及高风险的暴露。由于特权用户可以访问多个密钥凭据和资源，因此遭到入侵的特权用户或帐户可能会造成高昂的代价。

因此，特权访问管理还涉及对特权用户的持续监视，以确保他们不会滥用其访问权限。这需要定期查看分配的权限，并在用户在组织中的角色发生更改时撤销多余的权限。

PAM 与身份和访问管理以及特权身份管理有何不同

尽管特权访问管理可与身份和访问管理 （IAM） 和特权身份管理 （PIM） 互换使用，但让我们看看它们有何不同：

• IAM 是一个用于识别、验证用户和向用户提供访问权限的安全框架。IAM 由用于管理企业中身份的特殊策略、控件和解决方案组成。IT 经理利用 IAM 解决方案来控制对组织内数据库、资产、网络、应用程序和资源的访问。通常，IAM 适用于组织中的所有用户。
• 特权访问管理是 IAM 的一个子集，仅用于管理特权访问。PAM 主要适用于对敏感资源、应用程序和帐户具有提升访问权限的特权用户。PAM 专注于通过具有特权访问权限而构成更高安全威胁和数据泄露风险的用户和帐户。IT 管理员使用 PAM 解决方案来跟踪、审核和管理特权用户、标识、帐户和会话。
• PIM 是 PAM的一个子类，包括仅限于管理和保护特权标识（如服务帐户、用户名、密码、SSH 密钥和数字证书）的基本安全控制和策略，这些标识提供对敏感信息的访问。

总而言之，IAM 涵盖了所有企业垂直领域的更广泛的访问模式，包括所有用户、系统、资源和资产。另一方面，PIM 和 PAM 涵盖了围绕特权资源和系统的访问模式。

如何使用 PAM 保护特权帐户

特权访问管理最佳做法可分为三个阶段：向特定系统委派特权访问权限之前、期间和之后。

特权访问授权前

在提供访问权限之前，特权访问管理过程通常首先评估网络中本地、云和虚拟平台的活动关键终结点。

资产发现后，下一步是在安全的中央保管库中合并关联的特权帐户和 SSH 密钥（或提供提升权限的任何用户身份验证实体，例如智能卡）。此保管库必须由具有 AES-256 或 RSA-4096 等军用级算法的多层加密保护。

其他措施包括：

• 通过在内部身份治理和预配服务中与用户配置文件进行交叉检查，在批准保管库登录请求之前对其进行验证，以确保相关用户的角色需要特权访问。
• 对保管库登录实施多层强身份验证，包括一次性密码、双因素身份验证和单点登录。
• 使用户能够在 IT 经理或 IT 管理员批准后签出特权帐户或其他凭据。
• 对签出的凭据施加基于时间的访问限制，从而允许在特定时间段后自动吊销委派的权限。
• 使用时间戳记录所有凭据请求。

特权访问委派期间

接下来，在分配参与方特权访问权限时，主要原则是强制实施基于基于角色的控制构建的最小特权模型。这可确保已通过多个身份验证级别证明其身份的用户仅获得所需的最少权限。

这通常意味着实施以下措施：

• 通过网关服务器和加密通道特权会话，以避免从用户设备直接连接到目标信息系统。为了进一步增强安全性，使用户能够登录到 PAM 解决方案并通过单击启动特权连接，该工具将在后台对用户进行身份验证。这种做法绕过了向用户披露特权凭据的需要。
• 使用临时证书对特权会话进行身份验证和授权。临时证书是在特权访问期间自动生成和预配的，因此用户在连接时不必输入凭据。会话完成后，证书将自动过期。
• 在 RDP 会话期间提供有限的权限，例如特定于应用程序的访问权限，或仅允许 SSH 终端会话中的某些命令。
• 使用 PAM 软件实施实时 （JIT） 高程控制。仅在需要时提升员工的权限有助于防止累积未使用或不需要的访问权限，从而降低风险。JIT 控件使用户能够以自己的身份登录，而不是依赖共享特权帐户，从而大大提高了责任感。此方法也称为特权提升和委派管理 （PEDM）。对于理想的 JIT 最低特权模型，可以设置与内部标识治理工具交互的特权访问管理系统。这种合并结构可以通过基于角色的控制使实现更容易。
• 记录所有特权会话并将其存档为视频文件。同时（手动或自动）监督正在进行的会话以实时检测任何异常（例如恶意命令的传递）也是有益的。

特权访问授权后

在此阶段要记住的最重要的事情是，作业完成后，应撤销特权访问权限。撤销权限后，还应将特权凭据（密码或 SSH 密钥）自动签回保管库，并立即使用严格的策略重置，以防止将来发生任何未经授权的访问。

确保可靠安全性的其他举措如下：

• 在PAM 解决方案中实施全面的特权用户活动日志记录。审核跟踪应立即捕获有关特权帐户操作、用户登录尝试、工作流配置和任务完成的所有事件，并应包括时间戳和 IP 地址。将特权访问审核平台与内部事件日志记录服务集成有助于关联终结点和特权访问数据。这为您的 IT 团队提供了一个整合的仪表板，用于将特权访问与整体系统操作进行映射，从而提高特权用户监控的可见性和态势感知能力。组合日志为您提供了更多上下文，这有助于在响应网络内的安全事件时做出决策。
• 结合 AI 和 ML 驱动的异常检测，以识别异常行为带来的威胁。有效的特权访问管理工具应该在隐藏的威胁形成之前就发现它们。要采取更主动的立场，请使 PAM 解决方案与异常检测配合使用。为网络中的特权操作建立基线行为，然后利用 AI 和 ML 为每个用户操作纳入风险评分。这使该工具能够根据位置、时间或角色识别异常值，并使用它来计算加权风险评分。当操作的风险评分高于正常值时，会自动向 IT 管理员发送警报，以帮助他们阻止任何潜在的有害活动。
• 利用混合分析，对影响业务的风险进行智能洞察。当高级分析平台根据手头的所有事实提供见解时，审核日志最有用。同样，当您将特权访问审核和报告与业务服务相关联时，它们可以提供更好的见解。例如，将 PAM 工具中提出的特权访问请求映射到 IT 服务台中的网络问题或事件，可以让您更深入地了解环境中发生的情况，从而实现有意义的推理和更快的补救措施。

PAM 软件的主要功能

为企业提供理想的 PAM 解决方案必须超越密码管理。

特权帐户治理和凭据管理

• 特权帐户治理是任何 PAM 工具的关键部分。非托管特权帐户可以单枪匹马地摧毁企业。通过特权帐户治理，可以为用户实施基于角色的精细访问控制 （RBAC）。RBAC 可确保您的特权帐户不会被流氓内部人员、掠夺毫无戒心的员工的外部攻击者、疏忽的员工、恶意的前员工、远程供应商等利用。
• 使用特权账户治理和 PoLP，您可以通过仅向用户提供必要的、特定于任务的访问级别来减少暴露区域。特权帐户治理还有助于在定时、仅需要的基础上与选定用户安全共享特权凭据和帐户。实施此功能的 PAM 解决方案可防止权限滥用和未经授权的访问，并在异常时提醒您。
• 特权凭据管理是指特权凭据和机密的保管库、定期轮换和安全存储。使用 PAM 解决方案，您可以保险存储密码、令牌和 SSH 密钥;找回丢失的凭据;并定期轮换凭据。
• 理想的 PAM 解决方案有助于与人类用户进行凭证的保险存储和安全共享，生成凭证、代理权限、轮换机密、定期重置凭证，以及管理非人类实体（如计算机、应用程序、服务和 DevOps 管道）的授权。

自动发现

大多数企业都有数千个特权帐户、终结点和凭据，不可能手动发现和载入所有这些帐户、终结点和凭据。PAM 工具需要让您批量发现特权帐户和资源，并从单个集中式仪表板对其进行管理。使用 PAM 解决方案，您还可以自动发现与发现的帐户和资源关联的服务、终端节点和凭据。

PEDM

PEDM 是特权访问管理的一部分，旨在根据特定要求为用户提供临时的精细特权。授予用户更高的特权和对特权帐户的永久访问权限会带来重大的安全风险。即使通过意外暴露，这种长期特权也使攻击者能够访问组织最有价值的资源。
PAM 解决方案中的 PEDM 旨在通过允许用户和应用程序使用基于时间和请求的方法访问特权信息来解决此问题。换句话说，根据对用户要求的验证，在规定的时间内提供对敏感信息的访问权限，并在该时间之后撤销这些权限。

特权会话管理

特权会话管理是指涉及特权访问的会话的启动、实时监控、管理和记录。如果不加以控制，特权会话将构成重大的网络安全威胁。因此，通过 PAM 工具授权启动会话并实时监控会话非常重要，以便在存在可疑活动时可以终止会话。通过使用支持特权会话管理的 PAM 解决方案，您还可以记录特权会话以供将来分析，并在必要时获得即时警报。

实时审计

特权会话的审核记录包括事件是什么、哪个用户或应用程序发起了事件（包括 IP 地址和设备类型）、在整个会话期间执行了哪些操作以及事件的日期和时间。审计跟踪为每个操作创建问责制，确保可以回溯可疑活动和系统故障以了解其来源。

此外，维护特权访问的审核跟踪是合规性标准（如 HIPAA、SOX 和 PCI DSS）的一个组成部分，这些标准希望组织监视和捕获特权帐户执行的所有操作。

集成

企业整体 IT 管理需求不仅限于 PAM 解决方案，因此您的 PAM 软件必须与环境中使用的其他 IT 管理解决方案和业务应用程序无缝集成。上下文集成提供了整个组织中特权活动的整体视图。尽管并非所有 IT 功能都必须相互集成，但这样做可以消除重复操作和冗余，从而提高 IT 团队的整体安全性和生产力。

将您的 PAM 解决方案与其他 IT 管理工具集成将帮助您自动执行访问配置和特权操作、管理人工和非人工用户帐户、实现合规性，并在不同的企业垂直领域执行更多操作。此外，通过全面了解整个数字环境中的特权活动、用户行为和分析，您可以关联用户行为和权限滥用模式，并识别和了解威胁向量，以防止将来发生安全事件。

PAM360通过强大的特权访问管理（PAM）计划，确保任务关键型资产的特权访问路径不会不受管理、未知或不受监控，从而为希望领先于这一不断增长的风险的企业提供支持。