PAM (特权访问管理)

2025年03月17日 | 阅读 9 分钟

PAM (特权访问管理) 是用于访问、控制保护组织资源及关键信息的各种技术和工具的集合。特权访问管理 (PAM) 的子类别包括应用程序访问管理、供应商特权访问管理、特权会话管理通用访问密码管理

值得注意的是,特权用户账户是各种攻击的目标,因为这些账户拥有膨胀的权限、修改设置的能力以及访问敏感信息的能力。一旦被攻破,可能会对组织的运营造成巨大损害。执行 PAM 的多种账户类型可以包括本地管理员、紧急网络安全程序、Microsoft Active Directory、服务或应用程序以及域管理员账户。

特权访问管理工具和软件通过将特权账户(系统管理员账户)的凭据集中到一个受保护的存储库中来实现,以记录活动并区分其使用。这种隔离旨在降低管理员凭据被滥用和窃取的风险。一些 PAM 平台不允许特权用户自行选择密码。相反,当管理员登录时,平台会通知管理员密码或始终提供一次性密码。

PAM 软件的特性

PAM 对于不断发展或拥有任何复杂、大型 IT 系统的组织至关重要。许多知名供应商已开始提供企业级 PAM 工具,例如Thycotic、SecureLink、CyberArk、Centrify、BeyondTrust

通常,PAM 软件和工具提供以下关键特性:

  • PAM 软件为管理员提供 MFA(多因素身份验证)。
  • 它提供了一个访问管理器,用于存储特权用户数据和权限。
  • 它提供一个密码保险库,用于存储特权和安全的密码。
  • 它提供各种动态授权能力。例如,仅在特定时间内授予访问权限。
  • 它仅在授予特权访问时提供会话跟踪功能。
  • 它还提供审计日志工具,支持公司满足合规性要求。
  • 它提供自动化的预配和去预配,以减少内部威胁。

什么是特权?它们是如何创建的?

在 IT 上下文中,特权可以被描述为计算网络或系统中的一种权限、进程和账户。特权允许覆盖某些安全限制。它还包括执行关机系统、配置系统或网络、加载各种设备驱动程序、配置和预配云实例和账户等操作的授权。

特权通过启用应用程序、用户和系统的其他进程来发挥重要的操作作用。外部攻击者或内部人员滥用和误用特权的可能性给企业带来了危险的安全风险。

根据系统,一些特权的委托或分配给公众可能取决于属性。这些属性是基于角色的,例如业务部门(例如,IT、人力资源或营销)和其他各种参数(例如,特殊情况、一天中的时间、资历等)。

多个用户进程和账户的特权在云管理平台、虚拟机监控程序、数据库、应用程序、文件系统、操作系统等中创建。此外,特权还可以由某些特权用户类型分配,例如网络或系统管理员。

什么是特权账户?

大多数用户 90%-100% 的时间都在使用一些非特权账户。这些账户也称为LUA(最小特权账户)。通常,它们分为以下两种重要类型:

  • 标准用户账户:此账户拥有一组有限的特权,例如用于互联网浏览、访问有限的资源和各种应用程序(例如,MS Office)。它通常通过基于角色的策略进行描述。
  • 访客用户账户:与标准用户账户相比,这些账户拥有的特权更少。通常,这些类型的账户仅限于互联网浏览和应用程序访问。

特权账户的关键点

特权账户的一些关键点如下:

  • 特权账户被视为提供超越非特权账户的特权和访问权限的账户。特权用户是当前正在从任何特权账户提取特权访问权限的用户。由于其提升的访问权限和功能,特权账户/特权用户比非特权用户/非特权账户面临更大的风险。
  • 某些特定的特权账户类型称为超级用户。这些账户可供 IT 员工用于管理,并提供(几乎)不受限制的命令执行能力。通常,超级用户账户在 Linux/Unix 中称为“Root”,在各种 Windows 系统中称为“Administrator”。
  • 超级用户账户提供对目录、资源和文件的无限制访问,并具有完整的执行/写入/读取特权。它还提供对任何网络进行系统性修改的能力,例如安装和创建软件或文件、修改设置和文件、删除数据和用户。此外,超级用户还可以撤销和授予许多其他用户的权限。
  • 所有 Windows 计算机在 Windows 系统中都至少包含一个管理员账户。管理员账户允许用户执行诸如修改本地设置和配置以及安装软件等操作。
  • 此外,Mac OS X 是类 Unix 系统,但与 Linux 和 Unix 不同。很少部署为服务器。Mac 端点用户可以默认以 root 访问权限执行。尽管如此,为了限制特权风险的范围和可能性,应使用和创建非特权账户进行自定义计算。

特权账户示例

以下是一些重要的特权账户示例。这些账户通常在任何组织中使用:

  • 域管理员账户:跨域中所有服务器和工作站的管理员访问权限(特权)。
  • 本地管理员账户:非个人账户,仅提供对本地实例或主机的访问权限。
  • 紧急备用账户:这些也称为防火墙账户紧急账户。对非特权用户拥有管理员访问权限,以便在紧急情况下保护系统。
  • 服务账户:各种特权域和本地账户可供服务或应用程序使用,以便与任何操作系统进行交互。
  • 域服务或 Active Directory 账户:它允许对账户进行密码修改等操作。
  • 应用程序账户:许多应用程序使用这些账户来访问数据库、执行批处理脚本或作业,或提供对其他许多应用程序的访问。

什么是特权凭据?

特权凭据(也称为特权密码)是一组凭据,可提供跨系统、应用程序和账户的提升的权限和访问权限。特权账户与服务、应用程序、人员账户等相关。SSH 密钥是跨组织用于访问服务器的任何特权凭据。

特权凭据也可以称为“秘密”,尤其是在 DevOps 环境中。

特权账户的各种密码被称为“IT 王国的钥匙”。对于任何经过身份验证的用户,它都可以提供几乎无限的特权访问权限,以访问组织最关键的数据和系统,尤其是在超级用户密码的情况下。

特权威胁和特权风险

一些最重要的特权相关挑战和风险如下:

  • 缺乏对特权用户、资产、凭据和账户的意识和可见性:特权账户,即长期被遗忘的账户,通常在企业中流传。这些账户的数量可能达到数百万,为许多攻击者提供了严重的后门。
  • 特权过度分配:当特权访问控制过于严格时,会干扰用户工作流程,产生挫败感和效率低下。因为很少有最终用户会抱怨拥有太多特权。传统上,IT 管理员为最终用户安排特权集。员工的角色经常发生变化,他们会积累相应的特权和新的职责。
  • 共享密码和账户:通常,IT 团队为了方便而共享 root 和各种其他特权凭据。这样,职责和工作量可以根据需要无缝共享。然而,当多人共享一个账户的密码时,可能无法将使用该账户执行的活动追溯到个人。这会造成合规性问题、审计性和安全性问题。
  • 嵌入式凭据/硬编码:特权凭据需要为 A2A(应用程序到应用程序)和 A2D(应用程序到数据库)访问和通信提供身份验证。通常,系统、应用程序、IoT 设备和网络设备在出厂时就带有默认的嵌入式凭据,这些凭据很容易被猜测。此外,员工可以将秘密硬编码在纯文本中,例如文件、代码或脚本中,以便在需要时可以轻松访问。
  • 分散和手动凭据管理:特权凭据和账户可能在多个组织孤岛中独立处理。这导致了最佳实践的执行。
  • 对服务和应用程序账户特权缺乏了解:服务和应用程序账户会自动执行特权进程以执行许多操作。此外,这些账户可以与其他资源、应用程序、服务等进行通信。通常,服务和应用程序账户默认拥有特权访问权限,并且存在其他安全缺陷。
  • 杂乱的身份管理流程和工具:通常,现代 IT 环境运行在一个或多个平台(例如 Linux、Unix、Mac、Windows 等)上,所有这些平台都是单独管理和维护的。这种做法增加了每个最终用户的复杂性,增加了许多网络风险,并导致 IT 权限不一致。

内部和外部风险因素

黑客、合作伙伴、恶意软件和一般用户错误构成了常见的特权风险因素。外部黑客觊觎特权凭据和账户。它们为访问组织的敏感数据和关键系统提供了快速通道。黑客变成了“内部人员”,这是一个关键场景。他们可以在穿越 IT 环境时擦除痕迹以避免被检测到。

通常,黑客会从低级别漏洞(例如,通过针对标准用户账户的网络钓鱼攻击)获得初始立足点。

VPAM(供应商特权访问管理)

VPAM 可以定义为 PAM 的一个子集,专注于各种来自组织依赖外部合作伙伴进行故障排除、维护或支持特定系统和技术的外部高级威胁。这些供应商的代表需要远程特权访问组织网络才能完成这些任务,因此对 IT 管理构成特定风险。

具体来说,VPAM 提供的解决方案旨在管理第三方供应商带来的高风险和独特威胁。第三方用户使威胁管理变得复杂,因为它们不像内部员工那样受到管理和跟踪。VPAM 支持企业监控和控制第三方对关键系统和应用程序的特权访问,同时简化所有临时用户(例如供应商)的管理。

VPAM 降低风险的关键领域

VPAM 提供了一些关键领域来降低与供应商对第三方访问相关的各种风险。

  • 身份验证和识别:由于潜在的用户数量众多且缺乏监督,供应商的访问管理可能很困难。因此,实施供应商身份管理和多因素管理方法至关重要。VPAM 工具提供各种自定义身份验证选项,可以有效地入职和离职用户。此过程可防止供应商代表在离开组织时带走访问权限。
  • 访问控制:一旦用户获得授权,就需要识别权限。VPAM 解决方案使网络管理员能够授予访问权限。它还可以构建一个运行系统来满足所需的特定需求。访问控制可以很简单,例如允许访问任何组织网络应用程序,也可以很复杂,例如仅限于单个账户。此外,他们可以安排通过无监督或监督技术人员进行访问。这有助于监控组织的安全性与效率。
  • 审计和记录:VPAM 工具在所有会话期间监控各种用户活动。它可以确切地记录在远程支持会话中发生了什么、何时、何地、为何以及由谁操作。此外,VPAM 平台中的审计功能使组织能够确保供应商遵守各种行业法规并承担责任。

身份管理与 PAM

PAM 经常与访问和身份管理混淆。虽然存在一些重叠,但 PAM 仅专注于具有管理员和特权访问权限的账户,而访问管理则包含需要访问任何系统的用户。IM 使企业能够授权和验证客户、合作伙伴和员工的正常访问。

为了确保最高水平的可用性和安全性,组织必须同时实施身份和访问管理。IM 系统涵盖组织网络中的攻击面,而 PAM 则涵盖高价值且较小的攻击面。

PAM 实施

各种 PAM 流程都在努力控制特权风险。有现成的自动化解决方案可用于扩展到所有特权账户、资产和用户,以增强合规性和安全性。

这些解决方案可以自动化管理和发现,以减少凭据覆盖/特权账户的差距,同时简化工作流程以减少各种管理复杂性。

下一主题什么是业务分析师





相关帖子




Logo

我们提供所有技术(如 Java 教程、Android、Java 框架)的教程和面试问题

联系信息

G-13, 2nd Floor, Sec-3, Noida, UP, 201301, India

hr@tpointtech.com

+91-9599086977

关注我们
Tpoint Tech Facebook PageTpoint Tech X PageTpoint Tech Linkedin PageTpoint Tech Telegram ChannelTpoint Tech Youtube ChannelTpoint Tech instagram Page
教程
Java 数据结构 C 语言 C++ 教程 C# 教程 PHP 教程HTML 教程 JavaScript 教程jQuery 教程Spring 教程
面试题
Microsoft Amazon Adobe Intuit Accenture Cognizant Capgemini Wipro Tcs Infosys
在线编译器
C R C++ Php Java Html Swift Python JavaScript TypeScript
最新帖子 | 教程列表 | 隐私政策 | 关于我们 | 联系我们
© 版权所有 2011 - 2025 TpointTech.com。保留所有权利。