您实际需要的六大 PAM 功能

权限访问管理 (PAM) 是身份和访问管理 (IAM) 的子集，专门解决控制组织内使用最敏感系统和数据的用户（如 IT、信息安全和 DevOps 人员）的访问权限问题。 在其他任务中，PAM 实施最低权限原则，该原则授予用户完成工作所需的最低级别的系统和数据访问权限。

随着网络攻击的频率、强度和经济影响的增加，越来越多的组织正在将 PAM 解决方案添加到其安全技术堆栈中。 然而，评估和选择合适的产品可能具有挑战性，因为具有竞争力的 PAM 产品如此之多。

让我们来看看保护组织实际需要的六大权限访问管理功能。

1. 基于云端的零信任和零知识安全

尽管今天的组织数据环境在很大程度上甚至完全基于云，但许多“现代”PAM 产品最初是为本地基础设施开发的，云功能是后来加进来的。 未在云中开发的 PAM 产品不能充分利用云功能，如根据需要自动上下扩展云资源的能力（自动扩展）、零信任安全和零知识加密。

非零知识的产品本质上安全性较低，因为服务提供商可以访问敏感的用户数据。 非零知识提供商以可读格式存储数据或具有解密用户数据的能力。 如果他们的系统被破坏，攻击者就有可能访问敏感数据。 相反，零知识提供商也无法读取用户数据 – 即使发生泄漏 – 因为数据是加密的，只有用户拥有密钥。

除了防止外部威胁行为者或恶意内部人员破坏敏感的用户数据外，零知识加密还可以防止敏感数据落入政府监管机构手中。 提供商存储的数据受当地法律约束，可以在未经用户同意的情况下访问或监控，政府或监管机构可以请求访问用户数据。 不使用零知识加密的公司可能会在法律上被迫提供用户数据来响应此类请求。 如果组织使用零知识加密，则无法遵守此类请求，因为他们根本无法解密用户数据。

最后，零知识可建立服务提供商与其客户之间的信任。 组织必须信任其服务提供商会负责任地处理并保护其数据。

在零知识环境中，这种信任更容易获得，因为服务提供商无论发生什么都无法访问敏感的用户信息。

2. 粒度访问控制和策略实施

粒度访问控制通过限制对用户或系统所需内容的访问来帮助组织创建安全、高效和合规的环境。 它通常与 基于角色的访问控制 (RBAC) 和最低权限访问（也称为刚够的权限，或 JEP）配对，其中访问系统和数据的权限 是基于员工的工作职能的，最终目的是确保用户只能访问执行工作所需的资源 – 而不能访问其他资源。 由于粒度访问控制、RBAC和最低权限/JEP 是现代零信任安全环境的基石，因此您的 PAM 解决方案必须支持它们。

即时 (JIT) 访问是确保安全特权访问的另一个重要功能。 JIT 仅在用户或系统需要资源来执行特定任务时授予它们对资源的临时、限时访问。 这意味着访问权限是：

• 按需配置：在请求或由特定事件触发时激活。
• 限时：在预定义的时间段或任务完成后自动撤销。
• 上下文感知：可能合并用户角色、位置、设备或安全态势等条件。

3. 会话管理、监控和记录

在权限访问管理的背景下，会话管理、监控和记录是提供对特权用户活动的监督、控制和问责的关键功能。 这些功能可确保特权帐户执行的操作得到仔细跟踪、记录和审查，以降低与其提升访问权限相关的风险。

会话管理涉及控制特权用户会话，包括启动、维护和终止对敏感系统的访问。 确保您的 PAM 解决方案具有以下功能：

• 会话启动：促进与目标系统的安全、限时的连接。
• 访问控制：在会话期间实施时间限制或特定设备使用等策略。
• 会话终止：根据不活动或策略违反自动终止会话。
• 会话监控：在特权会话期间实时跟踪用户活动，允许 IT 和安全人员查看正在执行的操作，通常通过实时仪表板或屏幕共享机制完成。
• 会话记录：捕获和存储详细的日志以及通常与特权会话类似的视频的回放。 记录通常包括击键、执行的命令、查看的屏幕等。

会话管理、监控和记录通过允许安全团队在特权会话期间检测到可疑或未经授权的操作来帮助防止恶意活动。 它们通过阻止权限滥用和在事件发生时提供取证调查的证据来减少内部威胁。 会话管理（特别是会话记录）也是合规性的关键。 许多行业标准和监管框架（例如，HIPAA、PCI DSS 和 GDPR）要求跟踪、记录并报告特权用户活动，以保护敏感数据。

请确保您选择支持隧道和自带工具 (BYOT) 的 PAM 解决方案。 隧道是指通过中间人或代理安全地路由和管理与远程系统的通信或交互的能力，而不需要直接访问目标系统。 这在 PAM 解决方案中尤为重要，因为它支持用户设备和目标系统之间的安全、加密的通信；通过 PAM 网关或代理路由所有通信，后者实施 RBAC 并允许会话管理；并支持多个协议（例如，SSH、RDP、HTTPS）使用户能够安全地管理不同的环境。

BYOT 是全面的 PAM 解决方案中的一个功能，允许用户安全地使用他们喜欢的工具和应用程序与系统交互，而不是仅仅依赖 PAM 平台提供的工具。 例如，它允许系统管理员使用他们喜欢的 SSH 客户端（如 PuTTY 或终端）通过 PAM 平台连接到服务器。 这适应于在维护安全性和治理的同时需要专用工具或用户偏好的工作流程。

4. 支持通行密钥

通行密钥是一种现代的、防网络钓鱼的身份验证方法，旨在取代传统密码。 它们是一种无密码登录系统，使用公钥加密来增强安全性和易用性。 通行密钥正在被主要科技公司（包括 Apple、Google 和微软）采用，并得到 FIDO 联盟的支持。 随着它们变得越来越普遍，它们有望大幅减少与密码相关的网络攻击，使在线体验更安全、更用户友好并通过标准化安全、易于使用的方法来改变数字身份验证。

通过使用通行密钥，组织可以显著增强安全性，同时降低与传统密码管理相关的复杂性 – 因此请确保您的 PAM 解决方案支持它们。

5. 密码保险库和使用自动轮换进行管理

自动密码轮换和保险库是现代 PAM 解决方案的功能，通过自动处理密码和安全存储密码来增强特权帐户的安全性和管理。

自动密码轮换在指定的时间间隔或每次使用后自动更改特权帐户密码。 该过程受预定义的策略管理，不需要手动干预。 自动密码轮换可降低因凭证受损或过期而进行的未经授权访问的风险，确保没有用户保留对特权帐户的持久访问权限并满足强制密码轮换的监管要求（如 PCI DSS 和 HIPAA）。

密码保险库是指将特权帐户凭证安全存储在加密的集中存储库（“保险库”）中。 用户或系统必须使用 PAM 解决方案进行身份验证，才能检索访问资源的密码。 对保险库的访问根据 RBAC 等策略受到限制，可以检索特定会话的凭证并对用户隐藏。 这消除了在系统或个人设备之间分散存储敏感凭证的问题，与访问控制策略集成，以限制谁可以检索或使用特定密码并记录对保险库的每次访问，从而提供对凭证使用的可见性。

通常，网络安全最佳实践建议不要共享密码。 理想情况下，所有用户都应该为每个系统和应用程序提供唯一的登录信息。 然而，在实践中，这并不总是现实的，因此确保您的 PAM 解决方案允许您的用户安全共享密码非常重要。 除了共享帐户外，还应该查找临时共享（限时访问）、一次性共享和自毁共享等功能。

6. 保护您的整个组织，而不仅仅是 IT

今天市场上的某些 PAM 产品仅旨在保护 IT 管理员、DevOps 人员和其他特权用户。 然而，保护组织内的所有用户而不仅仅是拥有特权访问的用户至关重要。 这意味着您必须部署 PAM 解决方案和通用的 IAM 解决方案，然后管理和维护这两个产品。 这会为您的 IT 和安全团队创造更多的工作，并使确保在整个用户群中一致应用内部策略和控制变得更加困难。

选择 KeeperPAM 作为组织的 PAM 解决方案

KeeperPAM 是有史以来第一个将关键 PAM 功能带入云保险库的解决方案，可提供对您的整个用户群的安全访问 – 而不仅仅是您的 IT 部门。 作为一个完全的云原生平台，KeeperPAM 在统一的界面中整合保险库、密钥管理、连接管理、零信任访问和远程浏览器隔离。

安排 KeeperPAM 演示，详细了解 Keeper 在保护访问和统一管理所有关键资源方面的主动方法。