如何實現(xiàn)更有效的特權(quán)訪問管理(PAM)
責編:gltian |2022-04-15 11:23:26
特權(quán)賬號的濫用,可能會使基礎(chǔ)設(shè)施即服務(wù)(IaaS)等系統(tǒng)面臨更大的風險。特權(quán)訪問管理(Privileged Access Management,簡稱“PAM”)可以對特權(quán)賬號的訪問行為進行統(tǒng)一的管理審計,由此成為一項高優(yōu)先級的網(wǎng)絡(luò)防御功能。但有效的PAM需要全面技術(shù)策略的支撐,包括對所有資產(chǎn)的特權(quán)賬戶擁有可見性和控制度。
特權(quán)賬號訪問可以理解為:實體(人或機器)使用管理員賬戶或高權(quán)限賬號,執(zhí)行技術(shù)維護、IT系統(tǒng)變更或應急響應等工作。這些行為可能發(fā)生在本地,也可能發(fā)生在云端。技術(shù)人員的特權(quán)賬號不同于業(yè)務(wù)當中的高權(quán)限賬號,特權(quán)賬號可能對系統(tǒng)產(chǎn)生直接影響或變更,而高權(quán)限賬號只是訪問系統(tǒng)時擁有更高的權(quán)限。特權(quán)訪問風險源于特權(quán)賬號泛濫、使用特權(quán)時可能出現(xiàn)人為錯誤(比如管理員錯誤),以及未經(jīng)授權(quán)的特權(quán)提升(攻擊者用來在系統(tǒng)、平臺或環(huán)境上獲得更高級權(quán)限的手法)。
PAM控制機制能確保針對所有使用場景,授權(quán)特權(quán)賬號或憑據(jù)只進行其分內(nèi)的操作行為。PAM適用于所有本地和遠程的人對機器或機器對機器特權(quán)訪問場景。由于PAM存儲敏感的憑據(jù)/秘密以及在不同系統(tǒng)中可以執(zhí)行特權(quán)授權(quán)操作,這使得PAM可能成為攻擊者的目標,一旦攻擊者攻陷PAM系統(tǒng),就可以獲得極大的收益。因此PAM可以被認為是一種關(guān)鍵基礎(chǔ)設(shè)施服務(wù),這就需要PAM具備高可用性和恢復機制。
將PAM的重要性提升到一種網(wǎng)絡(luò)防御機制至關(guān)重要。它在實現(xiàn)零信任和深度防御策略方面發(fā)揮著關(guān)鍵作用,這些策略不單單滿足簡單的合規(guī)要求。一些組織可能選擇部署一組最基本的PAM控制機制以履行合規(guī)義務(wù),對審計結(jié)果作出響應。然而,這些組織仍然容易受到諸多攻擊途徑的影響,比如服務(wù)賬戶、特權(quán)提升和橫向移動。雖然最基本的控制機制聊勝于無,但擴大PAM控制機制的覆蓋范圍可以緩解更廣泛的風險,從而抵御復雜的網(wǎng)絡(luò)攻擊。
傳統(tǒng)的PAM控制機制(比如零憑據(jù)保管和會話管理)可確保特權(quán)用戶、應用程序和服務(wù)及時獲得剛好適配的特權(quán)(Just Enough Privilege,簡稱“JEP”),以降低訪問風險。雖然這種措施必不可少,但如果只是局部部署,效率低下。權(quán)限分配需強調(diào)實時性,保證特權(quán)賬戶能夠及時獲取權(quán)限,因此可以采用基于智能分析和自動化的授權(quán)行為。現(xiàn)階段PAM還需要額外的功能,確保能夠更廣泛地覆蓋云平臺、DevOps、微服務(wù)和機器人流程自動化(RPA)等場景,這些功能包括但不限于秘密管理(結(jié)合無秘密代理)和云基礎(chǔ)設(shè)施權(quán)限管理(CIEM)。
在Gartner的最新研究中,建議了部署/增強PAM架構(gòu)策略的幾個關(guān)鍵步驟,如圖1所示。
圖1?部署/增強PAM架構(gòu)策略的幾個關(guān)鍵步驟
現(xiàn)階段,安全和風險管理技術(shù)專業(yè)人員應做好以下工作:
?創(chuàng)建與組織的網(wǎng)絡(luò)安全框架相一致的PAM控制機制覆蓋矩陣。利用該矩陣來開發(fā)基于風險的方法,以規(guī)劃和實施或增強PAM控制機制和覆蓋范圍。
?部署覆蓋預期使用場景的解決方案,同時竭力采用零常設(shè)(zero standing)特權(quán)操作模型,從而實施PAM核心功能,包括治理、發(fā)現(xiàn)、保護、監(jiān)控、審核和及時特權(quán)提升和委派。
?擴展已部署的解決方案或與其他安全管理工具集成,從而實施額外的PAM功能。這些功能包括遠程支持、任務(wù)自動化(尤其在DevOps管道和基礎(chǔ)設(shè)施即代碼等使用場景中)、變更管理、漏洞評估及修復、秘密管理、無秘密代理以及云基礎(chǔ)設(shè)施權(quán)限管理。
?將PAM解決方案與安全信息和事件管理(SIEM)以及IT服務(wù)管理(ITSM)工具集成。
?使用高可用性設(shè)計和高級災難恢復流程(比如熱站點或冷站點,而不是簡單的本地備份和恢復),確保PAM解決方案具有彈性。還要使用可靠的打碎玻璃(break-glass)方法,針對恢復場景做好規(guī)劃。
參考鏈接:
https://www.gartner.com/en/articles/why-and-how-to-prioritize-privileged-access-management
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧