PAM 
随着组织不断构建现代化的身份与访问管理(IAM)策略
大多数零信任网络访问 (ZTNA) 解决方案都宣称自身可以消除基于边界的安全风险,但此类方案实际上会引入新的漏洞。 在 2025 年 8 月举行的 DEF CON 黑客大会上,研究人员揭示了几款流行的 ZTNA 产品中存在的重大漏洞,包括身份验证绕过和凭据泄漏。KeeperPAM® 通过强制执行零信任和零知识加密、基于保管库的访问以及仅出站连接,帮助填补传统 ZTNA 解决方案无法解决的安全漏洞。
继续阅读,了解大多数传统 ZTNA 解决方案的缺陷,以及 KeeperPAM 如何弥补这些不足,从而在不泄露敏感数据的前提下实现安全访问。
传统 ZTNA 工具中的安全漏洞
尽管许多传统 ZTNA 工具常被定位为虚拟专用网络 (VPN) 的安全替代方案,但其引入的漏洞可能与其意图防范的网络威胁具有同等危害性。 AmberWolf 在 DEF CON 33 中公布的研究结果突显了领先 ZTNA 产品存在的一系列安全问题,其中包括网络犯罪分子在未被察觉的情况下提升用户设备特权并访问关键资源的漏洞。
身份验证绕过
由于许多 ZTNA 平台依赖过时或执行不力的身份验证方法,网络犯罪分子可能会利用薄弱的 SAML 实施方案重放令牌,从而完全绕过身份验证。 在部分情况下,设备注册流程实施不当会造成漏洞,导致未经身份验证的设备接入关键系统。
凭据泄露
传统 ZTNA 解决方案的最大问题之一是经常错误处理凭据。 API 密钥、SSH 密钥或访问令牌等长期机密通常存储在端点或内存中,且容易通过恶意软件感染或本地入侵而被窃取。 这些凭据一旦泄露,即可重复使用,在网络内横向运动或升级特权。
架构缺陷
许多 ZTNA 解决方案非但没有限制信任,反而通过架构缺陷扩大了信任。 例如,要求安装用于流量检查的可信根证书、将网关暴露于互联网以及通过供应商的基础设施路由流量。 这些缺陷增加了组织的攻击面,与零信任安全支柱背道而驰。
态势欺骗
一些 ZTNA 解决方案依靠态势检查,通过验证操作系统版本或设备证书来判断设备是否安全。 但是,其中部分检查由客户端强制执行,且可以轻松操控。 如果解决方案在未妥善重新验证设备的情况下接受缓存的令牌或凭据,网络犯罪分子就会伪造合规态势。 这使得未经授权的设备可以通过欺骗系统,使其看似合规,从而绕过组织的防护措施而获得访问权限。
KeeperPAM 如何消除这些弱点
KeeperPAM 旨在消除传统 ZTNA 解决方案中的常见漏洞。 通过将零知识加密、即时 (JIT) 访问和仅出站架构相结合,KeeperPAM 可在不泄露凭据或增加攻击面的前提下切实部署零信任措施。 以下是 KeeperPAM 的核心功能:
- 零知识架构:借助 KeeperPAM,凭据永远不会泄露给用户、存储于设备或被 Keeper 访问。 这确保了机密在设备和记录层面进行加密和解密。
- 即时 (JIT) 访问:KeeperPAM 允许管理员仅在需要时且仅在会话期间授予访问权限。 会话结束后,KeeperPAM 会 自动轮换凭据以防止重复使用或盗用。
- 仅出站架构:Keeper Gateway 可建立端到端加密连接,而无需开启入站防火墙端口或暴露端点。
- 会话监控和记录:KeeperPAM 可监控并记录所有特权会话,包括 SSH、RDP 和 TLS,用于审计和合规管理。KeeperAI 可提供代理 AI 威胁检测和响应,支持自动终止高风险会话。
- 零信任安全的原生工具支持:通过支持 MySQL Workbench 或 pgAdmin 等原生工具的安全隧道和远程访问,KeeperPAM 可在幕后维护零信任安全。
- 与现有身份提供商 (IdP) 无缝集成:KeeperPAM 可与现有 IdP 协同配合,确保安全身份验证和配置,而不会影响零知识加密。
KeeperPAM 与传统 ZTNA 方案的对比
虽然大多数 ZTNA 解决方案都声称能最大限度降低风险,但许多方案仍依赖过时架构,且存在严重的安全漏洞。 KeeperPAM 采取了不同的措施来消除凭据泄露、减少信任假设并实施颗粒化访问控制。 以下是 KeeperPAM 和传统 ZTNA 工具在架构和操作上的主要差异:
| Category | KeeperPAM | Traditional ZTNA |
|---|---|---|
| Credential storage | Credentials are encrypted in a zero-knowledge vault and never exposed to users. | Secrets are often stored on devices or in memory, leaving them vulnerable to theft. |
| Gateway exposure | Outbound-only architecture eliminates the need to open inbound firewall ports. | Requires publicly exposed gateways, which expands the attack surface. |
| Token replay risk | Vault-initiated sessions with JIT access help prevent token replay. | Reusable tokens and weak authentication methods allow for token replay. |
| Root certificate installation | Encryption remains end-to-end, making it unnecessary to install trusted root certificates. | Trusted root certificates are often required for traffic inspection, expanding trust boundaries. |
| Traffic interception | No traffic interception is needed since sessions are recorded for SSH, RDP and TLS. | Relies on traffic interception and vendor infrastructure for monitoring. |
| Access control | Just-in-Time (JIT) access with automatic credential rotation. | Broad access policies expand standing access and allow for lateral movement. |
使用 KeeperPAM 确保您的访问策略经得起未来考验
由于网络犯罪分子会利用传统 ZTNA 工具的缺陷,依赖过时的访问解决方案并不安全。 组织需要一种旨在在不损害安全性的情况下实施零信任的解决方案,而 KeeperPAM 正好可以满足这一要求。 通过将零知识加密、基于保管库的访问和颗粒化访问控制相结合,KeeperPAM 可消除凭据泄露并减少攻击面。
Start your free trial of KeeperPAM today to close security gaps and future-proof your access strategy with a scalable and secure solution built for modern cyber threats.
