什么是特权访问管理？

特权访问管理 (PAM) 是指管理和保护有权访问高度敏感的系统和数据的帐户，例如 IT 管理帐户、工资系统和代码存储库。可能需要特权访问的用户包括系统和帐户管理员、高层管理人员、安全人员、HR 人员和财务人员。

并非所有特权用户都是人类。特权凭据也被系统和应用广泛使用，尤其是在 DevOps 环境中。这些凭据亦被称为机密。

随着组织的扩展，管理特权用户变得复杂且耗时，而配置错误则可能会造成严重后果。由于特权用户可以访问组织中最敏感的系统和数据，因此特权凭据成为网络威胁行为者极力获取的目标。据 Verizon 估计，有 49％的安全泄露事件涉及特权凭据被盗。

特权访问管理如何降低网络风险

特权访问管理系统可帮助 IT 管理员和安全人员有效、准确地组织、管理和保护特权凭据，从而避免可能导致发生泄露事件的配置错误。

身份和访问管理 (IAM) 和 PAM 是相关但不同的概念。两者都涉及在组织 IT 环境中管理用户访问权限。但是，IAM 是一个总括术语，而 PAM 更为具体。

IAM 大体上解决了组织中所有用户帐户的管理。IAM 解决方案可确保所有用户都拥有唯一、可信的数字身份，并且系统管理员可以在其整个生命周期中进行监视和管理，同时让系统管理员可以控制策略强制执行、密码管理、多步验证、活动监视和基于角色的访问控制 (RBAC)。

PAM 是 IAM 的子集，专注于控制对组织关键基础设施（即最敏感的数据和 IT 资源）的访问。由于特权帐户被泄露或滥用会给组织带来灾难性后果，因此与普通系统用户的活动相比，对特权用户活动的监视更为严格。PAM 通常涉及细粒度身份验证、自动化和授权、会话记录、审核和即时访问等控制。

专用的 PAM 解决方案具有许多优点，包括：

了解所有网络、应用、服务器和设备的访问情况。 PAM 解决方案使管理员能够全面了解他们的整个数据环境，包括云端和本地系统及基础设施。PAM 还可便于跟踪和控制所有需要特权访问才能实现最佳功能的系统和设备。
防止特权凭据被滥用或泄露。 PAM 解决方案可以保护特权帐户，使之更难被外部威胁行为者入侵，也更难被内部威胁行为者滥用。
简化合规。 大多数监管和行业合规框架都要求对特权用户帐户进行特别管理和审核。PAM 解决方案具有审核工具，可以记录用户会话并为组织提供审核线索。PAM 解决方案支持遵循 PCI DSS、HIPAA、FDDC、SOX Government Connect 和 FISMA 等框架，这些框架要求组织在分配用户权限时使用最低特权原则。
提高生产力。 全面的 PAM 解决方案使系统管理员能够通过中央控制面板管理特权用户帐户，而不必手动配置对单个系统或应用的访问权限，从而节省时间并提高 IT 人员和最终用户的生产力。
减少配置错误。 大约 49% 的组织为用户提供的访问权限超过了执行其工作所需的权限，这会带来严重的安全风险。PAM 简化了访问管理流程，可最大限度地减少配置错误，并确保遵循最低特权原则。

与 IAM 一样，特权访问安全不是一次性的工作，而是一个持续的过程。以下是一些安全访问您的组织的拳头部门的最佳做法。

使用特权任务自动化 (PTA) 工作流程。 PTA 需要使用特权凭据或提升访问权限的自动化流程，从而实现无缝入职和管理。
强制实施基于上下文的动态访问控制。 这亦称为即时访问，是一个零信任原则，涉及仅在用户需要时为他们提供对特权系统刚好够用的访问权限。这有助于防止凭据泄露，并允许安全团队在资源发生已知威胁时自动限制特权。
审核特权活动。 稳健的 PAM 解决方案具有审核功能，例如捕获按键和屏幕截图情况。使用这些功能来检测和调查安全风险对于管理威胁至关重要。管理员帐户可以实施特权会话管理以识别可疑的活动。
将特权帐户的使用限制为仅用于特权活动。 除了特权访问帐户外，特权用户还应拥有标准用户帐户，并且只有在执行特权活动时才应登录其特权帐户。
采用密码安全最佳做法。 适用于普通用户帐户的同一密码安全最佳做法对于处理特权访问甚至更为重要。例如，所有特权帐户都应使用高强度的唯一密码，并通过多步验证进行保护。
系统和网络分段。 网络分段可防止发生泄露事件时威胁行为者在系统内横向移动。它还可以防止最终用户无意中访问他们执行工作并不需要的系统和数据。

许多组织通过首先解决最大的可见风险，然后逐步完善安全做法（例如取消管理员权限和部署用户监视）来解决最低特权访问的问题。但是，最严重的安全风险可能并非最明显。因此，理想的方法是对现有的特权风险进行全面审核，并根据威胁级别对问题进行排序。