特权帐户的滥用可能会使基础设施即服务(IaaS)和其他系统面临更大的风险。特权访问管理(PAM)可以对特权账户的访问行为进行统一管理和审计,成为高优先级的网络防御功能。但有效的PAM需要综合技术策略的支持,包括对所有资产特权账户的可见性和控制。特权账户访问可以理解为:一个实体(人或机器)使用管理员账户或高权限账户进行技术维护、IT系统变更或应急响应。这些操作可能发生在本地或云端。技术人员的特权账户不同于业务中的高特权账户。特权账户可能直接影响或改变系统,而高特权账户只是在访问系统时具有更高的权限。特权访问风险源于特权帐户的激增、使用特权时可能出现的人为错误(例如管理员错误)以及未经授权的特权升级(攻击者用来在系统、平台或环境上获得更高特权的技术).PAM控制机制可以确保对于所有使用场景,授权的特权帐户或凭证仅执行其分配的操作。PAM适用于所有本地和远程的人机或机机特权访问场景。由于PAM存储了敏感的凭证/秘密,并且可以在不同的系统中执行特权授权操作,因此PAM可能成为攻击者的目标。一旦攻击者破坏了PAM系统,他们就可以获得巨大的利益。因此,PAM可以看作是一种关键的基础设施服务,这就要求PAM具备高可用性和恢复机制。将PAM的重要性提升为网络防御机制至关重要。它在实现超越简单合规性要求的零信任和纵深防御策略方面发挥着关键作用。一些组织可能会选择部署最少的PAM控制集来履行合规义务并响应审计结果。然而,这些组织仍然容易受到众多攻击媒介的攻击,例如服务帐户、特权升级和横向移动。虽然最基本的控制总比没有好,但扩大PAM控制的范围可以减轻更广泛的风险,从而抵御复杂的网络攻击。传统的PAM控制机制,例如零凭证托管和会话管理,确保特权用户、应用程序和服务及时获得JustEnoughPrivilege(JEP),以降低访问风险。虽然这些措施必不可少,但如果仅在本地部署,它们的效率会很低。授权分配需要强调实时性,以保证特权账户能够及时获得权限,因此可以采用基于智能分析和自动化的授权行为。现阶段,PAM还需要额外的能力来确保更广泛地覆盖云平台、DevOps、微服务和机器人过程自动化(RPA)场景。这些能力包括但不限于秘密管理(与无秘密代理相结合)和云基础设施。权限管理(CIEM)。在Gartner最近的一项研究中,建议了部署/增强PAM架构策略的几个关键步骤,如图1所示。图1部署/增强PAM架构策略的几个关键步骤在这??个阶段,安全和风险管理技术专业人员应该做到以下几点:创建一个与组织的网络安全框架相一致的PAM控制机制覆盖矩阵。利用此矩阵制定基于风险的方法来规划和实施或增强PAM控制机制和覆盖范围。部署涵盖预期使用场景的解决方案,同时努力实现零站立特权操作模型,从而实现核心PAM功能,包括治理、发现、保护、监控、审计以及及时的特权升级和授权。扩展部署的解决方案或与其他安全管理工具集成以实现额外的PAM功能。这些功能包括远程支持、任务自动化(尤其是在DevOps管道和基础设施即代码等用例中)、变更管理、漏洞评估和修复、机密管理、免密代理和云基础设施权限管理。将PAM解决方案与安全信息和事件管理(SIEM)和IT服务管理(ITSM)工具相集成。通过使用高可用性设计和高级灾难恢复流程(例如热站点或冷站点,而不是简单的本地备份和恢复)确保您的PAM解决方案具有弹性。还可以使用可靠的玻璃破碎方法和恢复方案计划。参考链接:https://www.gartner.com/en/articles/why-and-how-to-prioritize-privileged-access-management。
