什么是供应商特权访问管理？

• IAM 词汇表

• 什么是供应商特权访问管理？

供应商特权访问管理（VPAM），又称供应商访问管理，是特权访问管理（PAM）的一个子集，专注于对第三方供应商和承包商访问组织系统、网络及数据的权限进行控制与监控。由于第三方供应商通常需要较高权限以完成其任务，VPAM 确保这些访问权限在安全前提下被授予，仅限于必要范围，并受到严格监控，从而降低安全漏洞或未经授权行为的风险。

PAM 与 VPAM 与 RPAM：有什么区别？

供应商特权访问管理 (VPAM)、特权访问管理 (PAM) 和远程特权访问管理 (RPAM) 都是专注于控制和保护对关键系统和数据的访问的网络安全概念。 但是，它们各自具有不同的焦点和用例。

特权访问管理 (PAM)

PAM 是一个宽泛的术语，涵盖了对整个组织特权访问的管理、控制和监控。 它处理内部用户，例如管理员和 IT 员工，他们需要提升权限来履行其职责。 PAM 的主要功能通常包括：

• 访问控制： 确保只有授权用户才能访问特权帐户和资源。

• 会话监视： 跟踪和记录会话，以检测和响应可疑活动。

• 密码管理： 管理和轮换特权帐户的密码，以防止未经授权的访问。

• 端点特权管理： 移除常设管理员权限并启用即时访问。

供应商特权访问管理（VPAM）

VPAM 是 PAM 的子集，专门致力于管理、控制和监控第三方供应商和承包商对组织系统的特权访问。 VPAM 的主要功能通常包括：

• 粒度访问控制： 遵循最低特权原则，将供应商的网络访问限制为仅为其任务所必需的内容。

• 会话监视和记录： 监控和记录供应商活动，以进行审计。

• 实时 (JIT) 访问： 只要有可能，应为供应商提供临时、限时访问权限。

• 多因素身份验证 (MFA) 要求供应商使用多种形式的验证来身份验证到组织的网络。

远程特权访问管理 (RPAM)

尽管名字如此，RPAM 并不是 PAM 的一个子集，而是一个更为广泛的概念，专注于在远程环境下对特权访问进行管理与防护。这在 IT 管理员、DevOps 团队或外部承包商需要从远程地点访问关键系统的场景中尤为重要。

RPAM 涵盖了许多与 PAM 和 VPAM 相同的核心功能，例如基于最小权限原则的精细化访问控制、多因素认证、会话监控与记录，以及安全的凭据管理。其目的在于确保远程特权访问与本地访问同样安全且可审计。

VPAM 的重要性

供应商和第三方服务商通常需要获取更高权限，才能对内部系统执行诸如软件更新、故障排除或系统集成等任务。如果管理不当，这种访问可能会成为一个严重的漏洞，并使组织面临数据泄露、勒索软件或未经授权的更改。VPAM 提供了一种结构化的方法来控制和监视此访问。它强制执行最低权限原则和 MFA，在规定的时间段内限制对特定系统的访问，并记录所有会话活动以确保问责制。这降低了内部威胁、供应商凭证泄露和供应链攻击的风险，同时还支持遵守 PCI DSS、HIPAA 和 GDPR 等安全和隐私法规。

供应商特权访问管理如何工作

VPAM 通过实施一系列流程、技术和控制来管理、监控和保护第三方供应商和承包商对组织关键系统和数据的访问。 以下是典型 VPAM 工作流程例子：

1. 供应商入职： 供应商向组织提交访问请求，指定他们需要访问的系统和数据。 请求由组织内的授权人员审核和批准。

2. 最低特权访问配置： 一旦获得批准，访问权限将依据最小权限原则授予，并限定在特定的时间范围内。JIT 访问用于确保供应商仅在必要时、且仅在获批任务的期限内访问系统。在允许访问之前，需要进行多因素身份验证 (MFA)。

3. 凭据管理： 供应商所使用的凭证通过密码保管库进行集中且安全的管理。密码会自动轮换，且从不被直接共享，从而降低未经授权重复使用或泄露的风险。

4. 会话监控和记录： 所有供应商会话都在实时监控下，并启用了详细的会话记录。这确保了在供应商访问窗口期间所有操作的可见性。任何可疑行为都会立即触发警报进行调查。

5. 审核和报告： 日志与会话记录会被定期审查，以确保合规性、追责及取证分析。这些记录有助于证明对安全政策和监管要求的遵循情况。

6. 访问撤销： 一旦任务完成或访问期限届满，供应商的访问权限将被自动撤销。

实施供应商特权访问管理的好处

实施 VPAM 使组织能够控制、监控和审计第三方对关键系统和数据的访问。VPAM 的主要优势包括：

实施 VPAM 的具体好处包括：

• 提升安全性： 稳健的VPAM 实践降低了导致数据泄露的供应链攻击的风险。

• 确保合规： VPAM 通过实施访问控制、维护详尽日志并提供可用于审计的报告，支持遵循法律、行业及网络安全标准。

• 运营效率： VPAM 通过自动化许多日常任务，从而简化供应商访问管理，从而降低管理开销。

• 提高能见度： VPAM 为 IT 和安全人员提供全面了解谁访问什么，何时以及他们执行了什么操作，以帮助事件响应和法医分析。

实施供应商特权访问管理的最佳实践

以下是实施 VPAM 的一些关键最佳实践：

• 彻底的供应商入职： 建立正式流程以审查和批准供应商访问请求，包括背景调查和身份验证。根据供应商的职责分配角色，以强制执行最小权限访问。

• 自动化工作流程： 尽可能使用自动化来管理供应商访问请求、批准和撤销，以提高效率并减少错误。

• 会话监控和记录： 持续实时监控供应商活动，记录会话并维护详细日志。利用人工智能和机器学习工具来检测异常和潜在威胁。

• 定期访问审查： 定期审查供应商权限，并根据当前需求和角色调整访问权限。

• 风险评估与缓解： 持续评估与供应商访问相关的风险，并采取相应控制措施予以降低。制定并测试 供应商相关安全事件的事件响应计划。

• 策略维护： 定期更新 VPAM 策略，以应对不断演变的威胁、组织需求及监管要求。

• 彻底的供应商离职： 确保建立正式的离职流程，在供应商服务结束时及时撤销访问权限并停用账户。包含明确的流程，以确保安全处理所有相关数据。

KeeperPAM® 如何支持供应商访问控制

VPAM 满足了对授予第三方供应商和承包商的高级访问权限进行安全管理的需求。尽管 VPAM 常被作为一种独立方法讨论，KeeperPAM仍可通过其统一的特权访问管理平台，全面支持这些使用场景。

借助 JIT 访问、无凭证远程会话以及带 AI 威胁分析的会话记录等功能，KeeperPAM 使组织能够在无需 VPN 或直接暴露网络的情况下，安全地管理供应商访问。其零信任与 零知识 安全架构确保供应商仅在必要时访问所需资源，同时 IT 和安全团队能够保持全面的可见性与控制。进一步了解 KeeperPAM。