什么是特权用户管理?
- IAM 词汇表
- 什么是特权用户管理?
特权用户管理 (PUM) 是管理、监控和控制组织内具有提升访问权限的账户的过程。这些特权账户,例如系统管理员或 IT 人员使用的账户,拥有更广泛的访问权限,可以访问关键系统和数据。PUM 确保每位用户获得履行其工作职能所需的适当权限,同时持续监控活动以保持对安全协议的合规性。
PUM 与 PIM 与 PAM:有什么区别?
在管理特权账户的背景下,特权用户管理(PUM)、特权身份管理(PIM)和特权访问管理(PAM)常常被互换使用。然而,每种技术在确保系统和数据安全方面都发挥着独特的作用。
| 功能 | 特权用户管理 (PUM) | 特权身份管理 (PIM) | 特权访问管理 (PAM) |
|---|---|---|---|
| 主要关注点 | 管理特权用户的权限和访问权限 | 管理特权身份的完整生命周期 | 控制和监控对系统和资源的访问 |
| 安全重点 | 访问控制和监控 | 以身份为核心的安全 | 访问控制、审计和会话监控 |
| 关系 | PIM 的组成部分 | 涵盖 PUM 并与 PAM 协同工作 | 通过工具和控制措施实施 PIM 和 PUM 策略 |
| 推荐用于 |
|
|
|
特权身份管理 (PIM) 是身份和访问管理(IAM)的一个子集,专注于管理特权身份,即对组织的数据或系统具有提升访问权限的用户。PIM 确保只有获得授权的个人才能根据其角色和身份获得特权访问。它还能管理整个身份生命周期,包括用户账户的配置、修改和取消配置,以保持安全访问。
同样,特权访问管理 (PAM) 侧重于控制和监视特权用户如何访问系统。它作为 PUM 和 PIM 政策的执行机制。PAM 解决方案通常包括以下功能:
PUM 和 PIM 侧重于谁可以访问资源,而 PAM 则强调在用户获得访问权限后如何对该访问进行管理、监控和控制。
特权用户管理的工作原理
特权用户管理遵循结构化流程,以确保在组织内对具有高级访问权限的用户在其整个生命周期中得到妥善管理。
- 入职: 该流程始于定义用户的角色并分配适当的权限,然后才授予访问权限。这确保用户仅拥有执行其工作职能所需的访问权限。
- 监视: 一旦建立访问权限,用户活动将被持续监控,以检测未经授权的行为、强制执行策略合规性并维护审计跟踪。
- 取消配置: 当用户离开组织或不再需要特权访问时,其权限将被撤销,账户也将被停用,以防止未经授权的访问。
PUM 账户安全吗?
如果实施得当,特权用户管理账户可以是安全的。这些账户由于其权限较高,并且在许多情况下由多个管理员或 IT 人员共享使用,因此本身具有较高的风险。
为降低这些风险,组织必须执行强有力的安全措施,包括:
- 多因素身份验证(MFA),以验证用户身份
- 密码轮换以减少被攻破的窗口期
- 活动记录和监控,以检测和响应未经授权的行为
- 最小权限访问,确保用户仅拥有必要的最低权限
实施最低特权原则(PoLP)尤为重要,因为它通过限制访问权限,使每个用户只能访问其角色所必需的内容,从而限制了账户被泄露或滥用可能造成的损害。
