一文详解特权访问管理（PAM）

什么是特权访问管理（PAM）？

特权访问管理（Privileged Access Management）是一个包含网络安全策略和访问管理工具的解决方案，用于控制和监管和保护具有特权访问权限的用户。在之前的文章中我们了解过身份和访问管理（IAM），而 PAM 则是 IAM 的子集，包含管理特权账户的安全所需的解决方案和工具。

特权管理系统能够确保企业拥有具有适当可见性的安全网络，来降低操作的复杂性，同时也用来保护企业重要资源，包括：

• 数据

• 用户账户

• 网络

• 设备

• 系统

• 流程

PAM 作为一种访问解决方案，通过实施普通用户无法使用的特殊访问来保护身份。通过 PAM 来管理和保护所有特权账户，比简单的密码管理器和系统访问控制更加直接有效。

什么是特权访问？

特权访问是指用户的访问级别，需要更多权限，并且比普通用户具有更多更高的访问级别。这是一种分层模型，定义了用户在有组织的环境中活动范围。

例如，与具有较低访问级别的普通用户相比，某些操作系统的 root 用户或者管理员具有特权访问权限。管理员不仅可以不受限制地访问系统目录，还可以添加和删除用户，或者修改系统文件等。

特权访问相关术语

PAM 有时可被拿来与特权帐户管理、特权身份管理和特权会话管理等概念互换使用。虽然每个框架存在细微差别，但主要目的都是保护有权访问敏感数据的账户。我们一起来看看有关特权访问相关术语，并进行简单区别。

身份访问管理（IAM）

身份访问管理 （IAM） 是一个涵盖所有与访问身份验证相关的策略和工具的总称。与 PAM 相比，IAM 包含对所有用户访问进行身份验证和授权。IAM 工具确保用户的访问权限授予是基于其工作角色和组织的。IAM 使用有关密码管理和SSO（单点登录）、多因素身份验证和包含所有用户帐户的用户生命周期管理的工具。

特权访问管理 （PAM）

PAM 是一个子集访问解决方案，它是 IAM 的一部分。PAM 是管理网络和设备特权帐户的安全所需的解决方案和工具。简而言之，它是一种统一且透明的信息安全 (infosec) 机制，已集成到公司的 IAM 战略中。

特权账户管理

特权帐户管理（Privileged Account Management）是特权访问管理（PAM）的子集，专注于管理和组织帐户。

特权身份管理 (PIM)

PIM （Privileged Identity Management）是一个术语，涉及管理和监视特权用户可以访问哪些资源的服务。它可以与特权访问管理互换使用。

特权会话管理 (PSM)

特权会话管理（Privileged Session Management, PSM）是 PAM 工具的一个组件。PSM 是指管理和监控已登录到公司服务器的特权访问帐户。企业使用多种方法来管理服务器上的访问，其中包括远程会话监控、安全外壳协议、RDP 日志记录、审计和报告以及工作流协调。

通常 PSM 涉及记录和查看特权会话的视频以及用户键入的键盘记录。当检测到威胁时会自动关闭会话。在本文中，我们将主要关注特权访问管理的工作原理以及如何将其实施到有效的网络安全策略中。

为什么需要 PAM？

在信息技术的加持下，企业员工的工作效率被提升到了一个新的维度，企业只需给予员工相应系统权限，员工可以在不同终端设备登录公司系统，不受地点限制办公。但由于如果企业过度依赖特权账户，忽视某些安全风险或管理不善，可能导致数据泄露给企业造成巨大损失。

以下是一个企业需要实施 PAM 的一些原因：

• 从长远来看，实施 PAM 人工解决方案步骤极其繁琐且不充分。

• 拥有集中管理访问权限会让操作变得复杂。

• 将重要访问权限提供给特权帐户可能会严重损害系统的安全性。

• 无法避免人为错误，例如人为失误导致在访问时无意泄露敏感数据。

在当今时代，企业最有价值和最关键的资产常常受到多种形式的网络攻击威胁，例如恶意软件、网络钓鱼、人为错误和安全漏洞。

特权访问管理的工作原理

当今的公司和组织在云平台、人员分布、混合办公环境和第三方供应商的技术环境中以惊人的速度发展。在工作环境中，用户通常需要提升权限和对特权帐户的访问请求才能完成他们的任务。相同的用户首先需要向服务器提供他们需要访问权限的正当理由。

这就是 PAM 的用武之地，保护系统网格的同时，也能很好地平衡工作流程。PAM 简化了批准或拒绝用户访问请求的过程，并记录每个决定。此外，PAM 解决方案通常设置为需要获得 manager 对特定访问的批准，一旦用户申请得到批准，PAM 会临时为他们提供更高的任务访问权限，这样就无需手动处理请求和记录特权访问凭据。

以下是一些执行此网络安全解决方案的最常用的 PAM 工具和实践。

PAM 工具和实践

实施 PAM 能让网络安全解决方案变得更加有效。以下是一些主要的 PAM 工具和实践：

• 单点登录（SSO）集成，可集中访问多个用户帐户，同时不会影响密码的完整性，也不会中断用户工作流程。这样能够有效保护凭据信息避免泄露。

• 凭据管理（Credential Management）通过使用保管库和密码/凭证轮换，来缩短凭据有效时间，降低恶意攻击者通过被盗密码进行访问的可能性。

• 时刻保持谨慎并追踪特权账户。掌握所有具有特权会话用户的详细日志并识别异常非常重要，需要确认每个流程都应当与企业和员工确定的工作内容和任务保持一致。

• 实时监控、记录和审计并持续维护所有特权帐户活动，以检测系统内的可疑活动。它允许您使用 SIEM使用可略读的日志记录和记录 SSH 会话、数据库查询和kubectl命令。在审核特权访问管理时，必须定期安排特权会话监视和跟踪。

• 自动化可以有效降低数据系统安全框架内人为错误的风险。自动化用户配置能够优化 DevOps 的管理工作，增强系统安全性。

• 临时权限提升适用于此类场景：在特定时间范围内紧急情况下授予或删除普通用户最低权限或更高权限访问。

• 基于角色的访问控制（Role-Based Access Control, RBAC），根据授权用户在企业中的角色，限制或授予网络相应的访问级别，避免授予多个用户高级别管理访问权限。严格实施最小特权原则，避免特权滥用。

PAM 可让企业有效追踪并监控用户的会话，避免合规和审计风险，当然，企业也需要根据自身需求来选择合适的 PAM 工具和实践。

PAM 的重要性

如今，许多公司正面临着网络安全问题。特权滥用、人为错误、凭证泄露、离职员工权限未撤销等，这些失误往往给恶意攻击者提供绝佳攻击机会，最终给企业造成巨大损失。

而 PAM 是一个有效、可观察且集中的综合解决方案，帮助企业减小攻击面。企业通过策略、SaaS 应用程序和软件以及安全策略的组合来管理和保护关键系统和数据。

通过实施灵活的身份和访问管理策略以及全面的 PAM 策略，可以共同加强企业的网络、提高合规性、降低运营复杂性并为企业员工提供顺畅且高效的访问活动。