特權(quán)賬號(hào)的濫用，可能會(huì)使基礎(chǔ)設(shè)施即服務(wù)(IaaS)等系統(tǒng)面臨更大的風(fēng)險(xiǎn)。特權(quán)訪問管理(Privileged Access Management，簡稱“PAM”)可以對特權(quán)賬號(hào)的訪問行為進(jìn)行統(tǒng)一的管理審計(jì)，由此成為一項(xiàng)高優(yōu)先級(jí)的網(wǎng)絡(luò)防御功能。但有效的PAM需要全面技術(shù)策略的支撐，包括對所有資產(chǎn)的特權(quán)賬戶擁有可見性和控制度。

特權(quán)賬號(hào)訪問可以理解為：實(shí)體(人或機(jī)器)使用管理員賬戶或高權(quán)限賬號(hào)，執(zhí)行技術(shù)維護(hù)、IT系統(tǒng)變更或應(yīng)急響應(yīng)等工作。這些行為可能發(fā)生在本地，也可能發(fā)生在云端。技術(shù)人員的特權(quán)賬號(hào)不同于業(yè)務(wù)當(dāng)中的高權(quán)限賬號(hào)，特權(quán)賬號(hào)可能對系統(tǒng)產(chǎn)生直接影響或變更，而高權(quán)限賬號(hào)只是訪問系統(tǒng)時(shí)擁有更高的權(quán)限。特權(quán)訪問風(fēng)險(xiǎn)源于特權(quán)賬號(hào)泛濫、使用特權(quán)時(shí)可能出現(xiàn)人為錯(cuò)誤(比如管理員錯(cuò)誤)，以及未經(jīng)授權(quán)的特權(quán)提升(攻擊者用來在系統(tǒng)、平臺(tái)或環(huán)境上獲得更高級(jí)權(quán)限的手法)。

PAM控制機(jī)制能確保針對所有使用場景，授權(quán)特權(quán)賬號(hào)或憑據(jù)只進(jìn)行其分內(nèi)的操作行為。PAM適用于所有本地和遠(yuǎn)程的人對機(jī)器或機(jī)器對機(jī)器特權(quán)訪問場景。由于PAM存儲(chǔ)敏感的憑據(jù)/秘密以及在不同系統(tǒng)中可以執(zhí)行特權(quán)授權(quán)操作，這使得PAM可能成為攻擊者的目標(biāo)，一旦攻擊者攻陷PAM系統(tǒng)，就可以獲得極大的收益。因此PAM可以被認(rèn)為是一種關(guān)鍵基礎(chǔ)設(shè)施服務(wù)，這就需要PAM具備高可用性和恢復(fù)機(jī)制。

將PAM的重要性提升到一種網(wǎng)絡(luò)防御機(jī)制至關(guān)重要。它在實(shí)現(xiàn)零信任和深度防御策略方面發(fā)揮著關(guān)鍵作用，這些策略不單單滿足簡單的合規(guī)要求。一些組織可能選擇部署一組最基本的PAM控制機(jī)制以履行合規(guī)義務(wù)，對審計(jì)結(jié)果作出響應(yīng)。然而，這些組織仍然容易受到諸多攻擊途徑的影響，比如服務(wù)賬戶、特權(quán)提升和橫向移動(dòng)。雖然最基本的控制機(jī)制聊勝于無，但擴(kuò)大PAM控制機(jī)制的覆蓋范圍可以緩解更廣泛的風(fēng)險(xiǎn)，從而抵御復(fù)雜的網(wǎng)絡(luò)攻擊。

傳統(tǒng)的PAM控制機(jī)制(比如零憑據(jù)保管和會(huì)話管理)可確保特權(quán)用戶、應(yīng)用程序和服務(wù)及時(shí)獲得剛好適配的特權(quán)(Just Enough Privilege，簡稱“JEP”)，以降低訪問風(fēng)險(xiǎn)。雖然這種措施必不可少，但如果只是局部部署，效率低下。權(quán)限分配需強(qiáng)調(diào)實(shí)時(shí)性，保證特權(quán)賬戶能夠及時(shí)獲取權(quán)限，因此可以采用基于智能分析和自動(dòng)化的授權(quán)行為?，F(xiàn)階段PAM還需要額外的功能，確保能夠更廣泛地覆蓋云平臺(tái)、DevOps、微服務(wù)和機(jī)器人流程自動(dòng)化(RPA)等場景，這些功能包括但不限于秘密管理(結(jié)合無秘密代理)和云基礎(chǔ)設(shè)施權(quán)限管理(CIEM)。

在Gartner的最新研究中，建議了部署/增強(qiáng)PAM架構(gòu)策略的幾個(gè)關(guān)鍵步驟，如圖1所示。

圖1 部署/增強(qiáng)PAM架構(gòu)策略的幾個(gè)關(guān)鍵步驟

現(xiàn)階段，安全和風(fēng)險(xiǎn)管理技術(shù)專業(yè)人員應(yīng)做好以下工作：

• 創(chuàng)建與組織的網(wǎng)絡(luò)安全框架相一致的PAM控制機(jī)制覆蓋矩陣。利用該矩陣來開發(fā)基于風(fēng)險(xiǎn)的方法，以規(guī)劃和實(shí)施或增強(qiáng)PAM控制機(jī)制和覆蓋范圍。
• 部署覆蓋預(yù)期使用場景的解決方案，同時(shí)竭力采用零常設(shè)(zero standing)特權(quán)操作模型，從而實(shí)施PAM核心功能，包括治理、發(fā)現(xiàn)、保護(hù)、監(jiān)控、審核和及時(shí)特權(quán)提升和委派。
• 擴(kuò)展已部署的解決方案或與其他安全管理工具集成，從而實(shí)施額外的PAM功能。這些功能包括遠(yuǎn)程支持、任務(wù)自動(dòng)化(尤其在DevOps管道和基礎(chǔ)設(shè)施即代碼等使用場景中)、變更管理、漏洞評(píng)估及修復(fù)、秘密管理、無秘密代理以及云基礎(chǔ)設(shè)施權(quán)限管理。
• 將PAM解決方案與安全信息和事件管理(SIEM)以及IT服務(wù)管理(ITSM)工具集成。
• 使用高可用性設(shè)計(jì)和高級(jí)災(zāi)難恢復(fù)流程(比如熱站點(diǎn)或冷站點(diǎn)，而不是簡單的本地備份和恢復(fù))，確保PAM解決方案具有彈性。還要使用可靠的打碎玻璃(break-glass)方法，針對恢復(fù)場景做好規(guī)劃。

參考鏈接：

https://www.gartner.com/en/articles/why-and-how-to-prioritize-privileged-access-management。