什么是 Privileged Access Management (PAM)?
Privileged Access Management (PAM) 是一种标识安全解决方案,可通过监视、检测和防范对关键资源的未经授权的特权访问,帮助组织免受网络威胁。PAM 通过人员、流程和技术的组合运作,使你能够了解谁正在使用特权帐户,以及他们在登录时执行什么操作。限制可访问管理功能的用户数量可提高系统安全性,而额外的保护层可缓解威胁行动者造成的数据泄露。
Privileged Access Management 的工作原理是什么?
PAM 解决方案确定需要特权访问的人员、流程和技术,并指定适用于他们的策略。PAM 解决方案必须能够支持你建立的策略(例如自动密码管理和多重身份验证),且管理员应能够自动执行创建、修正和删除帐户的流程。PAM 解决方案还应该持续监视会话,以便你可以生成报告来识别和调查异常情况。
Privileged Access Management 的两个主要用例是防范凭据盗窃和实现合规性。
凭据盗窃是指威胁行动者盗取登录信息以获得对用户帐户的访问权限。登录后,他们可以访问组织数据、在各种设备上安装恶意软件,并获取对较高级别系统的访问权限。PAM 解决方案可以通过确保针对所有管理员标识和帐户的即时且恰好足够的访问权限以及多重身份验证,缓解此风险。
无论什么合规性标准适用于你的组织,可能都需要最小特权策略来保护敏感数据,如支付或个人健康信息。借助 PAM 解决方案,你可以通过生成特权用户活动报告(谁正在因什么原因访问什么数据)来证明你的合规性。
其他用例包括自动执行用户生命周期(即帐户创建、预配和取消设置)、监视和记录特权帐户、保护远程访问和控制第三方访问。PAM 解决方案还可以应用于设备(物联网)、云环境和 DevOps 项目。
特权访问的滥用是一种网络安全威胁,可能会对组织造成严重的大范围损害。PAM 解决方案提供强大的功能帮助你防范这种风险。
- 提供对关键资源的即时访问权限
- 使用加密网关(替代密码)实现安全的远程访问
- 监视特权会话以支持调查审核
- 分析可能对组织有害的异常特权活动
- 捕获特权帐户事件以进行合规性审核
- 生成关于特权用户访问和活动的报告
- 使用集成密码安全保护 DevOps
特权帐户的类型
超级用户帐户是由具有对文件、目录和资源的不受限制访问权限的管理员使用的特权帐户。他们可以安装软件、更改配置和设置并删除用户和数据。
特权帐户
特权帐户可提供非特权帐户(如标准用户帐户和来宾用户帐户)无法提供的访问权限和特权。
域管理员帐户
域管理员帐户是系统中最高级别的控制。这些帐户可以访问域中的所有工作站和服务器,并控制系统配置、管理员帐户和组成员身份。
本地管理员帐户
本地管理员帐户对特定服务器或工作站有管理员控制权,并且通常针对维护任务而创建。
应用程序管理员帐户
应用程序管理员帐户具有对特定应用程序以及应用程序中存储的数据的完全访问权限。
服务帐户
服务帐户可帮助应用程序安全地与操作系统交互。
业务特权用户帐户
业务特权用户帐户具有基于工作职责的高级别特权。
紧急帐户
紧急帐户在发生灾难或中断的情况下为非特权用户提供对安全系统的管理员访问权限。
PAM 和PIM
Privileged Access Management 可帮助组织管理标识,使威胁行动者更难以渗透网络和获得特权帐户访问权限。针对控制对加入域的计算机的访问权限和这些计算机上的应用程序的特权组,它增加了保护。PAM 还提供监视、可见性和精细控制,以便你了解你的特权管理员是谁,以及他们帐户的使用情况。
Privileged Identity Management (PIM) 提供基于时间和基于审批的角色激活以缓解对组织中敏感资源的过度、非必要或滥用访问风险,方法是对这些帐户实施即时访问和恰好足够的访问。为了进一步保护这些特权帐户,PIM 支持实施策略选项,例如多重身份验证。
虽然 PAM 和 PIM 有许多相似之处,但 PAM 使用工具和技术来控制和监视对资源的访问并遵循最小特权原则(确保员工有完成工作恰好足够的访问权限),而 PIM 通过有时限的访问权限控制管理员和超级用户并保护这些特权帐户。
Privileged Access Management 最佳做法
当你计划和实施 PAM 解决方案时,请记住遵循一些最佳做法,以帮助你提高组织中的安全性并缓解风险。
需要多重身份验证
使用多重身份验证为登录流程增加了一层保护。访问帐户或应用时,用户必须通过另一台经过验证的设备提供额外的身份验证。
自动实现安全性
通过自动实现安全环境,降低人为错误的风险并提高效率。例如,当检测到威胁时,可以自动限制特权并阻止不安全或未经授权的操作。
删除终端用户
在 IT Windows 工作站上,识别非必要的终端用户并将其从本地管理员组中删除。威胁行动者可能使用管理员帐户在工作站之间切换,盗取其他凭据,并提升权限以在网络中移动。
建立基线并监视偏差
审核特权访问活动,了解谁在系统中执行什么操作,以及特权密码的使用情况。了解针对可接受活动的基线有助于发现可能攻击你的系统的偏差。
提供即时访问权限
将最小特权策略应用于一切和所有人,然后根据需要提升特权。这有助于基于信任级别、需求和特权,针对用户和流程,对系统和网络进行分段。
避免长期的特权访问
考虑使用临时即时访问和恰好足够的访问,而不是使用长期的特权访问。这有助于确保用户有仅在需要的时间内进行此类访问的正当理由。
使用基于活动的访问控制
基于用户的过去活动和使用情况,仅授予用户实际使用的资源的特权。旨在缩小授权的特权和使用的特权之间的差距。
Privileged Access Management 的重要性
在系统安全方面,人是最薄弱的环节,特权帐户对组织而言存在巨大风险。PAM 可以帮助安全团队识别特权滥用招致的恶意活动,并立即采取措施修正风险。PAM 解决方案可以确保员工仅拥有完成其工作所必需的访问权限级别。
除了识别与特权滥用相关的恶意活动,PAM 解决方案还可以帮助组织:
- 最大限度降低安全漏洞的可能性。如果出现安全漏洞,PAM 解决方案有助于限制其在系统中的影响范围。
- 减少威胁行动者的入口和路径。针对人员、流程和应用程序的有限特权可防范内部和外部威胁。
- 防止恶意软件攻击。如果恶意软件确实站稳脚跟,删除过度特权有助于减少它的传播。
- 创建更容易审核的环境。通过有助于监视和检测可疑活动的活动日志,实现综合的安全和风险管理策略。
如何实现 PAM 安全性
如果要开始使用 Privileged Access Management,需要一个计划来:
- 提供对所有特权帐户和标识的完全可见性。PAM 解决方案应该让你看到人类用户和工作负载使用的所有特权。你有这样的可见性后,可清除默认管理员帐户并应用最小特权原则。
- 治理和控制特权访问。你需要获得特权访问的最新信息,保持对特权提升的控制,避免其失控,给组织的网络安全带来风险。
- 监视和审核特权活动。制定定义特权用户合法行为的策略,并确定违反这些策略的操作。
- 自动执行 PAM 解决方案。可以跨数百万个特权帐户、用户和资产进行缩放,以提高安全性和合规性。自动执行发现、管理和监视以减少管理任务和复杂性。
根据你的 IT 部门需求,你可以使用现成的 PAM 解决方案,逐渐添加模块以支持更大、更好的功能。你还需要考虑安全控制建议以满足合规性。
还可以将 PAM 解决方案与安全信息和事件管理 (SIEM) 解决方案集成。
Privileged Access Management 解决方案
单靠技术不足以保护你的组织免受网络攻击。需要使用将人员、流程和技术均考虑在内的解决方案。
了解 Microsoft 安全身份验证和访问控制解决方案如何通过保护对面向所有用户、智能设备和服务的联网环境的访问来帮助保护你的组织。
常见问题解答
-
身份和访问管理 (IAM) 包括控制谁在何时在何处以什么方式访问资源的什么内容的规则和策略。这包括密码管理、多重身份验证、单一登录 (SSO) 和用户生命周期管理。
Privileged Access Management (PAM) 与保护特权帐户所需的流程和技术有关。它是 IAM 的子集,支持在特权用户(访问权限超过标准用户的用户)登录系统后控制和监视特权用户的活动。
-
Robust session management 是一种 PAM 安全工具,通过该工具,可以了解特权用户(组织中拥有对系统和设备的根访问权限的用户)登录后执行的操作。生成的审核线索会提醒你存在特权访问的意外或故意滥用。
-
Privileged Access Management (PAM) 可用于强化组织的安全状况。通过它可以控制对基础结构和数据的访问、配置系统并扫描是否存在漏洞。
-
PAM 解决方案的好处包括缓解安全风险、减少运营成本和复杂性、增强组织中的可见性和情境意识,以及提高合规性。
-
为组织选择 PAM 解决方案时,请确保它包括多重身份验证、会话管理和即时访问功能、基于角色的安全性、实时通知、自动化以及审核和报告功能。
关注 Microsoft 安全