如何实现更有效的特权访问管理(PAM)

安全
特权账号的滥用,可能会使基础设施即服务(IaaS)等系统面临更大的风险。特权访问管理(Privileged Access Management,简称“PAM”)可以对特权账号的访问行为进行统一的管理审计。

特权账号的滥用,可能会使基础设施即服务(IaaS)等系统面临更大的风险。特权访问管理(Privileged Access Management,简称“PAM”)可以对特权账号的访问行为进行统一的管理审计,由此成为一项高优先级的网络防御功能。但有效的PAM需要全面技术策略的支撑,包括对所有资产的特权账户拥有可见性和控制度。

特权账号访问可以理解为:实体(人或机器)使用管理员账户或高权限账号,执行技术维护、IT系统变更或应急响应等工作。这些行为可能发生在本地,也可能发生在云端。技术人员的特权账号不同于业务当中的高权限账号,特权账号可能对系统产生直接影响或变更,而高权限账号只是访问系统时拥有更高的权限。特权访问风险源于特权账号泛滥、使用特权时可能出现人为错误(比如管理员错误),以及未经授权的特权提升(攻击者用来在系统、平台或环境上获得更高级权限的手法)。

PAM控制机制能确保针对所有使用场景,授权特权账号或凭据只进行其分内的操作行为。PAM适用于所有本地和远程的人对机器或机器对机器特权访问场景。由于PAM存储敏感的凭据/秘密以及在不同系统中可以执行特权授权操作,这使得PAM可能成为攻击者的目标,一旦攻击者攻陷PAM系统,就可以获得极大的收益。因此PAM可以被认为是一种关键基础设施服务,这就需要PAM具备高可用性和恢复机制。

将PAM的重要性提升到一种网络防御机制至关重要。它在实现零信任和深度防御策略方面发挥着关键作用,这些策略不单单满足简单的合规要求。一些组织可能选择部署一组最基本的PAM控制机制以履行合规义务,对审计结果作出响应。然而,这些组织仍然容易受到诸多攻击途径的影响,比如服务账户、特权提升和横向移动。虽然最基本的控制机制聊胜于无,但扩大PAM控制机制的覆盖范围可以缓解更广泛的风险,从而抵御复杂的网络攻击。

传统的PAM控制机制(比如零凭据保管和会话管理)可确保特权用户、应用程序和服务及时获得刚好适配的特权(Just Enough Privilege,简称“JEP”),以降低访问风险。虽然这种措施必不可少,但如果只是局部部署,效率低下。权限分配需强调实时性,保证特权账户能够及时获取权限,因此可以采用基于智能分析和自动化的授权行为。现阶段PAM还需要额外的功能,确保能够更广泛地覆盖云平台、DevOps、微服务和机器人流程自动化(RPA)等场景,这些功能包括但不限于秘密管理(结合无秘密代理)和云基础设施权限管理(CIEM)。

在Gartner的最新研究中,建议了部署/增强PAM架构策略的几个关键步骤,如图1所示。

图1 部署/增强PAM架构策略的几个关键步骤

现阶段,安全和风险管理技术专业人员应做好以下工作:

  • 创建与组织的网络安全框架相一致的PAM控制机制覆盖矩阵。利用该矩阵来开发基于风险的方法,以规划和实施或增强PAM控制机制和覆盖范围。
  • 部署覆盖预期使用场景的解决方案,同时竭力采用零常设(zero standing)特权操作模型,从而实施PAM核心功能,包括治理、发现、保护、监控、审核和及时特权提升和委派。
  • 扩展已部署的解决方案或与其他安全管理工具集成,从而实施额外的PAM功能。这些功能包括远程支持、任务自动化(尤其在DevOps管道和基础设施即代码等使用场景中)、变更管理、漏洞评估及修复、秘密管理、无秘密代理以及云基础设施权限管理。
  • 将PAM解决方案与安全信息和事件管理(SIEM)以及IT服务管理(ITSM)工具集成。
  • 使用高可用性设计和高级灾难恢复流程(比如热站点或冷站点,而不是简单的本地备份和恢复),确保PAM解决方案具有弹性。还要使用可靠的打碎玻璃(break-glass)方法,针对恢复场景做好规划。

参考链接:

https://www.gartner.com/en/articles/why-and-how-to-prioritize-privileged-access-management。

责任编辑:姜华 来源: 安全牛
相关推荐

2019-09-16 08:22:12

特权访问管理PAM网络安全

2023-06-19 12:27:19

PAM访问管理

2024-02-04 11:57:59

2024-10-29 08:00:00

PAMPAM部署IT

2011-12-26 15:51:36

用户访问访问管理

2022-03-07 00:43:11

网络弹性数字资产

2009-05-26 14:56:43

Linux系统硬盘优化

2022-05-15 00:20:43

特权访问管理PAM

2012-08-08 14:57:00

2012-08-01 10:47:59

2018-07-04 15:53:50

最小权限访问POLP身份验证

2009-01-09 22:10:12

服务器虚拟化存储管理

2023-05-24 12:33:35

2021-11-14 22:20:45

人工智能机器学习技术

2022-03-16 14:29:22

安全漏洞首席信息官

2016-03-17 15:37:07

2009-11-23 20:36:35

ibmdwRational

2020-08-18 07:52:06

GitHub程序开源

2009-02-27 14:21:01

LinuxRuby系统管理

2012-05-02 10:03:56

点赞
收藏

51CTO技术栈公众号