什么是特权拜访治理(PAM)?
特权拜访治理(Privileged Access Management)是一个蕴含网络安全策略和拜访管理工具的解决方案,用于管制和监管和爱护具备特权拜访权限的用户。在之前的文章中咱们理解过身份和拜访治理(IAM),而 PAM 则是 IAM 的子集,蕴含治理特权账户的平安所需的解决方案和工具。
特权管理系统可能确保企业领有具备适当可见性的平安网络,来升高操作的复杂性,同时也用来爱护企业重要资源,包含:
- 数据
- 用户账户
- 网络
- 设施
- 零碎
- 流程
PAM 作为一种拜访解决方案,通过施行普通用户无奈应用的非凡拜访来爱护身份。通过 PAM 来治理和爱护所有特权账户,比简略的明码管理器和零碎访问控制更加间接无效。
什么是特权拜访?
特权拜访是指用户的拜访级别,须要更多权限,并且比普通用户具备更多更高的拜访级别。这是一种分层模型,定义了用户在有组织的环境中流动范畴。
例如,与具备较低拜访级别的普通用户相比,某些操作系统的 root 用户或者管理员具备特权拜访权限。管理员不仅能够不受限制地拜访系统目录,还能够增加和删除用户,或者批改系统文件等。
特权拜访相干术语
PAM 有时可被拿来与特权帐户治理、特权身份治理和特权会话治理等概念调换应用。尽管每个框架存在细微差别,但次要目标都是爱护有权拜访敏感数据的账户。咱们一起来看看无关特权拜访相干术语,并进行简略区别。
身份拜访治理(IAM)
身份拜访治理(IAM)是一个涵盖所有与拜访身份验证相干的策略和工具的总称。与 PAM 相比,IAM 蕴含对所有用户拜访进行身份验证和受权。IAM 工具确保用户的拜访权限授予是基于其工作角色和组织的。IAM 应用无关明码治理和 SSO(单点登录)、多因素身份验证和蕴含所有用户帐户的用户生命周期治理的工具。
特权拜访治理(PAM)
PAM 是一个子集拜访解决方案,它是 IAM 的一部分。PAM 是管理网络和设施特权帐户的平安所需的解决方案和工具。简而言之,它是一种对立且通明的信息安全 (infosec) 机制,已集成到公司的 IAM 策略中。
特权账户治理
特权帐户治理(Privileged Account Management)是特权拜访治理(PAM)的子集,专一于治理和组织帐户。
特权身份治理 (PIM)
PIM(Privileged Identity Management)是一个术语,波及治理和监督特权用户能够拜访哪些资源的服务。它能够与特权拜访治理调换应用。
特权会话治理 (PSM)
特权会话治理(Privileged Session Management, PSM)是 PAM 工具的一个组件。PSM 是指治理和监控已登录到公司服务器的特权拜访帐户。企业应用多种办法来治理服务器上的拜访,其中包含近程会话监控、平安外壳协定、RDP 日志记录、审计和报告以及工作流协调。
通常 PSM 波及记录和查看特权会话的视频以及用户键入的键盘记录。当检测到威逼时会主动敞开会话。在本文中,咱们将次要关注特权拜访治理的工作原理以及如何将其施行到无效的网络安全策略中。
为什么须要 PAM?
在信息技术的加持下,企业员工的工作效率被晋升到了一个新的维度,企业只需给予员工相应零碎权限,员工能够在不同终端设备登录公司零碎,不受地点限度办公。但因为如果企业适度依赖特权账户,漠视某些平安危险或治理不善,可能导致数据泄露给企业造成巨大损失。
以下是一个企业须要施行 PAM 的一些起因:
- 从久远来看,施行 PAM 人工解决方案步骤极其繁琐且不充沛。
- 领有集中管理拜访权限会让操作变得复杂。
- 将重要拜访权限提供给特权帐户可能会重大侵害零碎的安全性。
- 无奈防止人为谬误,例如人为失误导致在拜访时无心泄露敏感数据。
在当今时代,企业最有价值和最要害的资产经常受到多种形式的网络攻击威逼,例如恶意软件、网络钓鱼、人为谬误和安全漏洞。
特权拜访治理的工作原理
当今的公司和组织在云平台、人员散布、混合办公环境和第三方供应商的技术环境中以惊人的速度倒退。在工作环境中,用户通常须要晋升权限和对特权帐户的拜访申请能力实现他们的工作。雷同的用户首先须要向服务器提供他们须要拜访权限的正当理由。
这就是 PAM 的用武之地,爱护零碎网格的同时,也能很好地均衡工作流程。PAM 简化了批准或回绝用户拜访申请的过程,并记录每个决定。此外,PAM 解决方案通常设置为须要取得 manager 对特定拜访的批准,一旦用户申请失去批准,PAM 会长期为他们提供更高的工作拜访权限,这样就无需手动解决申请和记录特权拜访凭据。
以下是一些执行此网络安全解决方案的最罕用的 PAM 工具和实际。
PAM 工具和实际
施行 PAM 能让网络安全解决方案变得更加无效。以下是一些次要的 PAM 工具和实际:
- 单点登录(SSO)集成,可集中拜访多个用户帐户,同时不会影响明码的完整性,也不会中断用户工作流程。这样可能无效爱护凭据信息防止泄露。
- 凭据治理(Credential Management)通过应用保存库和明码 / 凭证轮换,来缩短凭据无效工夫,升高歹意攻击者通过被盗明码进行拜访的可能性。
- 时刻放弃审慎并追踪特权账户。把握所有具备特权会话用户的具体日志并辨认异样十分重要,须要确认每个流程都该当与企业和员工确定的工作内容和工作保持一致。
- 实时监控、记录和审计并继续保护所有特权帐户流动,以检测零碎内的可疑流动。它容许您应用 SIEM 应用可略读的日志记录和记录 SSH 会话、数据库查问和 kubectl 命令。在审核特权拜访治理时,必须定期安顿特权会话监督和跟踪。
- 自动化能够无效升高数据系统平安框架内人为谬误的危险。自动化用户配置可能优化 DevOps 的管理工作,加强零碎安全性。
- 长期权限晋升实用于此类场景:在特定工夫范畴内紧急情况下授予或删除普通用户最低权限或更高权限拜访。
- 基于角色的访问控制(Role-Based Access Control, RBAC),依据受权用户在企业中的角色,限度或授予网络相应的拜访级别,防止授予多个用户高级别治理拜访权限。严格施行最小特权准则,防止特权滥用。
PAM 可让企业无效追踪并监控用户的会话,防止合规和审计危险,当然,企业也须要依据本身需要来抉择适合的 PAM 工具和实际。
PAM 的重要性
现在,许多公司正面临着网络安全问题。特权滥用、人为谬误、凭证泄露、到职员工权限未撤销等,这些失误往往给歹意攻击者提供绝佳攻打机会,最终给企业造成巨大损失。
而 PAM 是一个无效、可察看且集中的综合解决方案,帮忙企业减小攻击面。企业通过策略、SaaS 应用程序和软件以及安全策略的组合来治理和爱护要害零碎和数据。
通过施行灵便的身份和拜访管理策略以及全面的 PAM 策略,能够独特增强企业的网络、进步合规性、升高经营复杂性并为企业员工提供顺畅且高效的拜访流动。