早期,PAM指的是Privileged Account Management,特权账号管理,它是使用基于策略的软件和策略来控制谁可以访问敏感系统和信息的IT安全过程。特权账号依靠凭据(密码、密钥等)来控制访问。通过在安全保险库中创建、存储和管理这些凭据,来控制用户、进程或计算机对IT环境中受保护资源的授权访问。
然而,随着特权安全策略的扩展,PAM的通用定义发生了变化。现在,业界已普遍将PAM定义为Privileged Access Management, 特权访问管理。 这将PAM的定义拓展到了比特权账号管理更广泛的安全类别。除了特权账号以外,特权访问管理还包括了用于对用户、账号和流程的提升访问和权限进行控制的网络安全策略。它不仅可以确定哪些人和系统可以访问特权账号,还可以确定他们登录后可以做什么。
此外,特权访问管理还包含为安全团队提供更精细的控制和监督特权会话期间采取的行动的策略。它包括通过凭证管理、最小权限实施和账号治理等策略来管理特权账号的密码。例如,特权访问批准和工作流程、双因素/多因素身份验证、特权会话监控和记录以及远程启动是综合特权访问管理计划的关键要素。
接下来我们再来看一下用户账号和特权账号有什么区别?
IT 账号有两大类:
用户账号:用户账号通常代表人类身份(例如 Active Directory 用户账号),并具有关联的密码以保护信息并防止其他任何人未经许可访问。每个用户通常有一个账号密码,需要一个人记住。
特权账号:特权账号基于更高级别的权限,提供对企业系统和敏感数据的管理或专业级别的访问权限。特权账号可以与人类或非人类IT系统相关联。
企业拥有的特权账号通常是员工数量的两到三倍。在大多数企业中,IT人员拥有一个具有标准级别权限的账号和另一个用于执行需要提升权限的操作的账号。
为什么需要特权账号?
特权账号是企业IT系统的钥匙,因为它们可用于访问敏感服务器、调整权限、创建后门账号,以及更改或删除关键数据。
需要提升权限的特权账号包括:
- 管理服务器的本地或域管理员账号
- 控制Active Directory用户的域管理员账号
- 帮助管理数据库的SA账号或系统管理员账号
- 管理Unix/Linux平台的root账号
- 运行和管理 Windows 应用程序、服务和计划任务的账号
- IIS 应用程序池(.NET 应用程序)
- 允许访问防火墙、路由器和交换机的网络设备账号
什么是特权服务账号?
服务账号是一种特殊类别的特权账号,通常它被赋予高级别权限,以便在 IIS 中运行计划任务、批处理作业、应用程序池,以及跨复杂的数据库、应用程序和文件系统网络进行更多操作。成百上千的服务依赖特权账号来运行关键的 IT 流程。因此,服务账号是风险最高的特权账号之一。
在实际应用中,服务账号通常是被滥用最多的特权账号类型。为了保持系统运行并避免宕机,服务账号通常配置有不必要的高级别特权。服务账号属于非人类账号,所以他们往往缺乏监管。例如,服务账号密码不会轮换,没有设置过期日期,账号永远不会退役等。这些常见做法为企业带来了危险的漏洞,为网络攻击打开了大门。
谁使用特权账号,特权账号位于何处?
特权账号的典型用户是负责管理环境的系统管理员 (sysadmin),以及特定软件或硬件的IT管理员。他们需要提升权限才能:
- 安装系统硬件/软件
- 访问敏感数据
- 为他人重置密码
- 登录到环境中的所有机器
- 对IT基础架构系统进行更改
系统管理员使用特权账号来部署和维护IT系统,因此它们几乎存在于每个连接的设备、服务器、数据库和应用程序中。特权账号远远超出企业的本地或基于云的企业基础设施,包括员工管理的营销、销售、财务和社交媒体账号。因此,即使是中小型企业也有一个有效的特权账号管理流程,这一点很重要。
身份和访问管理 (IAM) 与特权访问管理有什么区别?
身份是指人。您、您的老板、IT 管理员和 HR 人员只是可能负责创建、更新甚至删除属性的少数示例。 IAM的核心目标是每个人拥有一个数字身份。一旦建立了数字身份,就必须对其进行维护、修改和监控。
特权访问管理是IAM的一部分,帮助管理权利,不仅是个人用户,还包括超级用户、管理和服务账号等共享账号。与IAM工具或密码管理器不同,PAM工具保护和管理所有类型的特权账号。成熟的特权访问管理解决方案比简单的密码生成和对单个系统的访问控制更进一步。它还提供了一个统一、强大且透明的平台,该平台集成到企业的整体身份和访问管理 (IAM) 战略中。
版权归原作者 Rankez 所有, 如有侵权,请联系我们删除。