如何實現更有效的特權訪問管理（PAM）

特權賬號的濫用，可能會使基礎設施即服務（IaaS）等系統面臨更大的風險。特權訪問管理（Privileged Access Management，簡稱“PAM”）可以對特權賬號的訪問行為進行統一的管理審計，由此成為一項高優先順序的網路防禦功能。但有效的PAM需要全面技術策略的支撐，包括對所有資產的特權賬戶擁有可見性和控制度。

特權賬號訪問可以理解為：實體（人或機器）使用管理員賬戶或高許可權賬號，執行技術維護、IT系統變更或應急響應等工作。這些行為可能發生在本地，也可能發生在雲端。技術人員的特權賬號不同於業務當中的高許可權賬號，特權賬號可能對系統產生直接影響或變更，而高許可權賬號只是訪問系統時擁有更高的許可權。特權訪問風險源於特權賬號氾濫、使用特權時可能出現人為錯誤（比如管理員錯誤），以及未經授權的特權提升（攻擊者用來在系統、平臺或環境上獲得更高階許可權的手法）。

PAM控制機制能確保針對所有使用場景，授權特權賬號或憑據只進行其分內的操作行為。PAM適用於所有本地和遠端的人對機器或機器對機器特權訪問場景。由於PAM儲存敏感的憑據/祕密以及在不同系統中可以執行特權授權操作，這使得PAM可能成為攻擊者的目標，一旦攻擊者攻陷PAM系統，就可以獲得極大的收益。因此PAM可以被認為是一種關鍵基礎設施服務，這就需要PAM具備高可用性和恢復機制。

將PAM的重要性提升到一種網路防禦機制至關重要。它在實現零信任和深度防禦策略方面發揮著關鍵作用，這些策略不單單滿足簡單的合規要求。一些組織可能選擇部署一組最基本的PAM控制機制以履行合規義務，對審計結果作出響應。然而，這些組織仍然容易受到諸多攻擊途徑的影響，比如服務賬戶、特權提升和橫向移動。雖然最基本的控制機制聊勝於無，但擴大PAM控制機制的覆蓋範圍可以緩解更廣泛的風險，從而抵禦複雜的網路攻擊。

傳統的PAM控制機制（比如零憑據保管和會話管理）可確保特權使用者、應用程式和服務及時獲得剛好適配的特權（Just Enough Privilege，簡稱“JEP”），以降低訪問風險。雖然這種措施必不可少，但如果只是區域性部署，效率低下。許可權分配需強調實時性，保證特權賬戶能夠及時獲取許可權，因此可以採用基於智慧分析和自動化的授權行為。現階段PAM還需要額外的功能，確保能夠更廣泛地覆蓋雲平臺、DevOps、微服務和機器人流程自動化（RPA）等場景，這些功能包括但不限於祕密管理（結合無祕密代理）和雲基礎設施許可權管理（CIEM）。

在Gartner的最新研究中，建議了部署/增強PAM架構策略的幾個關鍵步驟，如圖1所示。

圖1 部署/增強PAM架構策略的幾個關鍵步驟

現階段，安全和風險管理技術專業人員應做好以下工作：

•建立與組織的網路安全框架相一致的PAM控制機制覆蓋矩陣。利用該矩陣來開發基於風險的方法，以規劃和實施或增強PAM控制機制和覆蓋範圍。

•部署覆蓋預期使用場景的解決方案，同時竭力採用零常設（zero standing）特權操作模型，從而實施PAM核心功能，包括治理、發現、保護、監控、稽核和及時特權提升和委派。

•擴充套件已部署的解決方案或與其他安全管理工具整合，從而實施額外的PAM功能。這些功能包括遠端支援、任務自動化（尤其在DevOps管道和基礎設施即程式碼等使用場景中）、變更管理、漏洞評估及修復、祕密管理、無祕密代理以及雲基礎設施許可權管理。

•將PAM解決方案與安全資訊和事件管理（SIEM）以及IT服務管理（ITSM）工具整合。

•使用高可用性設計和高階災難恢復流程（比如熱站點或冷站點，而不是簡單的本地備份和恢復），確保PAM解決方案具有彈性。還要使用可靠的打碎玻璃（break-glass）方法，針對恢復場景做好規劃。