压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

特權(quán)賬號(hào)的濫用，可能會(huì)使基礎(chǔ)設(shè)施即服務(wù)（IaaS）等系統(tǒng)面臨更大的風(fēng)險(xiǎn)。特權(quán)訪問(wèn)管理（Privileged Access Management，簡(jiǎn)稱(chēng)“PAM”）可以對(duì)特權(quán)賬號(hào)的訪問(wèn)行為進(jìn)行統(tǒng)一的管理審計(jì)，由此成為一項(xiàng)高優(yōu)先級(jí)的網(wǎng)絡(luò)防御功能。但有效的PAM需要全面技術(shù)策略的支撐，包括對(duì)所有資產(chǎn)的特權(quán)賬戶擁有可見(jiàn)性和控制度。

特權(quán)賬號(hào)訪問(wèn)可以理解為：實(shí)體（人或機(jī)器）使用管理員賬戶或高權(quán)限賬號(hào)，執(zhí)行技術(shù)維護(hù)、IT系統(tǒng)變更或應(yīng)急響應(yīng)等工作。這些行為可能發(fā)生在本地，也可能發(fā)生在云端。技術(shù)人員的特權(quán)賬號(hào)不同于業(yè)務(wù)當(dāng)中的高權(quán)限賬號(hào)，特權(quán)賬號(hào)可能對(duì)系統(tǒng)產(chǎn)生直接影響或變更，而高權(quán)限賬號(hào)只是訪問(wèn)系統(tǒng)時(shí)擁有更高的權(quán)限。特權(quán)訪問(wèn)風(fēng)險(xiǎn)源于特權(quán)賬號(hào)泛濫、使用特權(quán)時(shí)可能出現(xiàn)人為錯(cuò)誤（比如管理員錯(cuò)誤），以及未經(jīng)授權(quán)的特權(quán)提升（攻擊者用來(lái)在系統(tǒng)、平臺(tái)或環(huán)境上獲得更高級(jí)權(quán)限的手法）。

PAM控制機(jī)制能確保針對(duì)所有使用場(chǎng)景，授權(quán)特權(quán)賬號(hào)或憑據(jù)只進(jìn)行其分內(nèi)的操作行為。PAM適用于所有本地和遠(yuǎn)程的人對(duì)機(jī)器或機(jī)器對(duì)機(jī)器特權(quán)訪問(wèn)場(chǎng)景。由于PAM存儲(chǔ)敏感的憑據(jù)/秘密以及在不同系統(tǒng)中可以執(zhí)行特權(quán)授權(quán)操作，這使得PAM可能成為攻擊者的目標(biāo)，一旦攻擊者攻陷PAM系統(tǒng)，就可以獲得極大的收益。因此PAM可以被認(rèn)為是一種關(guān)鍵基礎(chǔ)設(shè)施服務(wù)，這就需要PAM具備高可用性和恢復(fù)機(jī)制。

將PAM的重要性提升到一種網(wǎng)絡(luò)防御機(jī)制至關(guān)重要。它在實(shí)現(xiàn)零信任和深度防御策略方面發(fā)揮著關(guān)鍵作用，這些策略不單單滿足簡(jiǎn)單的合規(guī)要求。一些組織可能選擇部署一組最基本的PAM控制機(jī)制以履行合規(guī)義務(wù)，對(duì)審計(jì)結(jié)果作出響應(yīng)。然而，這些組織仍然容易受到諸多攻擊途徑的影響，比如服務(wù)賬戶、特權(quán)提升和橫向移動(dòng)。雖然最基本的控制機(jī)制聊勝于無(wú)，但擴(kuò)大PAM控制機(jī)制的覆蓋范圍可以緩解更廣泛的風(fēng)險(xiǎn)，從而抵御復(fù)雜的網(wǎng)絡(luò)攻擊。

傳統(tǒng)的PAM控制機(jī)制（比如零憑據(jù)保管和會(huì)話管理）可確保特權(quán)用戶、應(yīng)用程序和服務(wù)及時(shí)獲得剛好適配的特權(quán)（Just Enough Privilege，簡(jiǎn)稱(chēng)“JEP”），以降低訪問(wèn)風(fēng)險(xiǎn)。雖然這種措施必不可少，但如果只是局部部署，效率低下。權(quán)限分配需強(qiáng)調(diào)實(shí)時(shí)性，保證特權(quán)賬戶能夠及時(shí)獲取權(quán)限，因此可以采用基于智能分析和自動(dòng)化的授權(quán)行為。現(xiàn)階段PAM還需要額外的功能，確保能夠更廣泛地覆蓋云平臺(tái)、DevOps、微服務(wù)和機(jī)器人流程自動(dòng)化（RPA）等場(chǎng)景，這些功能包括但不限于秘密管理（結(jié)合無(wú)秘密代理）和云基礎(chǔ)設(shè)施權(quán)限管理（CIEM）。

在Gartner的最新研究中，建議了部署/增強(qiáng)PAM架構(gòu)策略的幾個(gè)關(guān)鍵步驟，如圖1所示。

圖1?部署/增強(qiáng)PAM架構(gòu)策略的幾個(gè)關(guān)鍵步驟

現(xiàn)階段，安全和風(fēng)險(xiǎn)管理技術(shù)專(zhuān)業(yè)人員應(yīng)做好以下工作：

?創(chuàng)建與組織的網(wǎng)絡(luò)安全框架相一致的PAM控制機(jī)制覆蓋矩陣。利用該矩陣來(lái)開(kāi)發(fā)基于風(fēng)險(xiǎn)的方法，以規(guī)劃和實(shí)施或增強(qiáng)PAM控制機(jī)制和覆蓋范圍。

?部署覆蓋預(yù)期使用場(chǎng)景的解決方案，同時(shí)竭力采用零常設(shè)（zero standing）特權(quán)操作模型，從而實(shí)施PAM核心功能，包括治理、發(fā)現(xiàn)、保護(hù)、監(jiān)控、審核和及時(shí)特權(quán)提升和委派。

?擴(kuò)展已部署的解決方案或與其他安全管理工具集成，從而實(shí)施額外的PAM功能。這些功能包括遠(yuǎn)程支持、任務(wù)自動(dòng)化（尤其在DevOps管道和基礎(chǔ)設(shè)施即代碼等使用場(chǎng)景中）、變更管理、漏洞評(píng)估及修復(fù)、秘密管理、無(wú)秘密代理以及云基礎(chǔ)設(shè)施權(quán)限管理。

?將PAM解決方案與安全信息和事件管理（SIEM）以及IT服務(wù)管理（ITSM）工具集成。

?使用高可用性設(shè)計(jì)和高級(jí)災(zāi)難恢復(fù)流程（比如熱站點(diǎn)或冷站點(diǎn)，而不是簡(jiǎn)單的本地備份和恢復(fù)），確保PAM解決方案具有彈性。還要使用可靠的打碎玻璃（break-glass）方法，針對(duì)恢復(fù)場(chǎng)景做好規(guī)劃。

參考鏈接：

https://www.gartner.com/en/articles/why-and-how-to-prioritize-privileged-access-management