特權(quán)賬戶往往能夠訪問到企業(yè)中最重要的數(shù)據(jù)和信息，因此會成為攻擊者競相追逐的目標(biāo)。為了保障數(shù)字化業(yè)務(wù)的安全開展，組織必須對各種特權(quán)賬號的使用情況和異常行為進行有效的監(jiān)控和管理。但在實際應(yīng)用中，企業(yè)要真正落地特權(quán)訪問管理(PAM)并不容易，需要借助先進技術(shù)工具的支撐，實現(xiàn)特權(quán)賬戶可見和可控。本文收集整理了目前較熱門的10款特權(quán)訪問管理解決方案，并對其應(yīng)用特點進行了簡要分析。

1、JumpCloud：Directory Platform

圖片

JumpCloud是一家面向組織的IT部門、人事部門和網(wǎng)絡(luò)安全運營團隊提供統(tǒng)一身份安全管理解決方案的專業(yè)服務(wù)商，可以為用戶提供PAM、IAM、MFA等多種身份安全工具，企業(yè)可根據(jù)自身需求靈活選擇單點功能和完整方案。在PAM方面，JumpCloud最有代表性的產(chǎn)品是Directory Platform，提供了對特權(quán)訪問管理的完善功能和應(yīng)用保護。

主要特點：

?具備訪問控制權(quán)限、合規(guī)管理、密碼管理、訪問管理、憑據(jù)管理、單點登錄、多因素身份驗證、用戶管理等較全面的功能;

?能夠在統(tǒng)一平臺便捷管理多個用戶和設(shè)備;

?同時具備單點登錄和IAM的功能，帶給各類用戶一直的登錄體驗;

?產(chǎn)品整體導(dǎo)航界面設(shè)計間接、直觀，易于非專業(yè)人員使用。

不足:

?僅提供有限的Mac MDM支持，對Mac環(huán)境中的移動設(shè)備管理能力不足;

?技術(shù)支持文檔數(shù)量有限，不如其他廠商豐富;

?一些用戶表示，希望Directory Platform有提供更廣泛的跟蹤、審計和報告功能。

傳送門：https://jumpcloud.com/

2、CyberArk：Privileged Access Manager

圖片

CyberArk公司已經(jīng)成立了20多年，為企業(yè)級身份安全市場帶來了很多技術(shù)應(yīng)用的創(chuàng)新，包括保險庫技術(shù)、密文管理和CIEM功能。該公司推出的Privileged Access Manager特權(quán)訪問解決方案，能夠為系統(tǒng)管理員和安全團隊提供對特權(quán)賬號的強大控制能力和靈活性。它還結(jié)合了訪問管理和應(yīng)用程序控制功能，并符合通用的行業(yè)標(biāo)準(zhǔn)。

主要特點：

?具備訪問控制權(quán)限、合規(guī)管理、密碼管理、憑據(jù)管理、身份驗證等較完整的PAM基礎(chǔ)功能;

?應(yīng)用規(guī)模和市場份額較高，形成了較龐大的合作伙伴生態(tài)系統(tǒng)，能夠與其他相關(guān)技術(shù)廣泛整合;

?提供較廣泛的新一代網(wǎng)絡(luò)安全訪問控制功能，包括適時訪問、CIEM和密文管理等。

不足：

?產(chǎn)品應(yīng)用的專業(yè)性要求較高，普通用戶很難區(qū)分重疊的功能套件和管理設(shè)置;

?在PSM等一些創(chuàng)新功能方面表現(xiàn)不佳;

?產(chǎn)品始終定位于PAM市場的高端用戶，對中小型企業(yè)不夠友好。

傳送門：https://www.cyberark.com/products/privileged-access-manager/。

3、ManageEngine：PAM360

ManageEngine能夠提供較完整的身份安全和訪問管理產(chǎn)品，其中在特權(quán)訪問管理方面最重要的產(chǎn)品是PAM360。該產(chǎn)品有標(biāo)準(zhǔn)化的特權(quán)訪問和會話管理(PASM)控制套件，同時也能夠提供特權(quán)提升和委托管理(PEDM)等功能。

主要特點：

?產(chǎn)品售價較低，適合關(guān)注性價比的企業(yè)組織;

?客戶群分布廣泛，遍布全球多個地區(qū)，主要包括歐洲、非洲、北美州和亞太等;

?PAM360有較強大的特權(quán)賬號發(fā)現(xiàn)功能，可以識別眾多應(yīng)用系統(tǒng)和復(fù)雜網(wǎng)絡(luò)環(huán)境上的特權(quán)賬戶。

不足：

?完整版功能需要通過耗費資源的HTML5瀏覽器會話模擬實現(xiàn);

?PEDM的功能表現(xiàn)有待改進;

?在密文管理、CIEM和特權(quán)憑據(jù)管理等方面的用戶評價低于其他產(chǎn)品。

傳送門：https://www.manageengine.com/privileged-access-management/。

4、BeyondTrust：Total PASM

BeyondTrust也是一家業(yè)務(wù)遍及全球的特權(quán)訪問管理提供商，其代表性客戶是一些特大型的跨國企業(yè)組織。目前，公司提供兩種主要的特權(quán)訪問產(chǎn)品：Privileged Remote Access和Password Safe，它們可以整合到一個完整的Total PASM解決方案中，方案提供了特權(quán)提升和委托管理(PEDM)功能。

主要特點：

?具備較完善的PAM基礎(chǔ)性功能，包括訪問控制權(quán)限、合規(guī)管理、密碼管理、憑據(jù)管理、多因素身份驗證、用戶管理等;

?能夠支持UNIX/Linux系統(tǒng)環(huán)境是其一大亮點，被認為是UNIX/Linux操作系統(tǒng)下的首選PAM方案之一;

?具有易于使用的特權(quán)賬號發(fā)現(xiàn)功能。

不足：

?定價較高，主要面向行業(yè)頂端的大型企業(yè)客戶;

?集成的單點工具繁多，應(yīng)用成本和復(fù)雜性持續(xù)上升;

?單點登錄、MFA和PEDM等工具未出現(xiàn)在整個PASM套件中，客戶需要另外購買。

傳送門：https://www.beyondtrust.com/products/total-pasm。

5、Okta：Privileged Access

Okta是一家專注為云原生型組織提供身份安全服務(wù)和產(chǎn)品的供應(yīng)商，其主要的PAM產(chǎn)品Privileged Access是其代表性Workforce Identity Cloud產(chǎn)品套件的一個組成部分，提供了多因素身份驗證、單點登錄和生命周期管理等功能。

主要特點：

?Okta提供的PAM工具能夠與傳統(tǒng)的PAM軟件輕松集成;

?Privileged Access工具套件能夠在公有云、私有云或混合云環(huán)境中順暢使用;

?具有強大的自動化導(dǎo)入和管理能力，便于用戶使用。

不足：

?在安全審計和合規(guī)管理方面存在不足;

?基于資源的定價模式會增加用戶的使用成本和復(fù)雜性;

?用戶只能管理和控制團隊的訪問，限制控制措施的精細度。

傳送門：https://www.okta.com/products/privileged-access/。

6、微軟：Entra ID

圖片

微軟Entra ID是微軟Azure Active Directory的新名稱，這項新服務(wù)于2023年底升級推出。任何使用Windows 11、Microsoft 365或Azure服務(wù)的組織都可以享用基本的Microsoft Entra ID軟件包，它充當(dāng)了所有微軟客戶現(xiàn)有身份和訪問管理功能的擴展服務(wù)。

主要特點：

?Microsoft Entra ID能夠與微軟公司的其他服務(wù)有效兼容，對使用Windows的組織頗有吸引力。

?為所有用戶提供免費軟件包，并提供增強功能的收費套餐;

?各項安全工具都能很好適用于云和混合云環(huán)境。

不足：

?產(chǎn)品的套餐較多，用戶很難弄清楚不同套餐的差別，以及如何與Microsoft 365和E5軟件包交互;

?用戶管理界面較復(fù)雜，Entra ID的布局和UI有待簡化;

?僅支持微軟系統(tǒng)環(huán)境，非微軟用戶可能覺得它不很實用。

傳送門：https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-id。

7、WALLIX：Bastion

WALLIX公司是PAM市場中的一家老牌廠商，早在2007年就推出了其第一代特權(quán)訪問管理產(chǎn)品。目前，公司最主要產(chǎn)品的是WALLIX Bastion標(biāo)準(zhǔn)化套件，全面涵蓋了PASM的各項功能。同時，公司還通過WALLIX BestSafe提供PEDM工具。

主要特點：

?擁有功能全面的PASM單點工具，包括會話監(jiān)控和審計功能;

?產(chǎn)品定價較低，通常頗具競爭力;

?有直觀的UI界面設(shè)計，產(chǎn)品易于使用。

不足：

?密碼輪換策略不適用于大多數(shù)系統(tǒng)或服務(wù)賬戶;

?WALLIX Bastion不提供云基礎(chǔ)設(shè)施授權(quán)管理(CIEM)功能，對希望自動掃描并識別特權(quán)用戶的組織來說不太適用。

傳送門：https://www.wallix.com/privileged-access-management/。

8、Delinea：Secret Server

圖片

Delinea公司主要提供廣泛的特權(quán)訪問安全控制能力。通過Secret Server產(chǎn)品，用戶可以獲取標(biāo)準(zhǔn)的PASM功能，用于管理特權(quán)用戶和會話。此外，還可以通過額外的工具，如Privileged Behavior Analytics、Privilege Manager和Account Lifecycle Manager等，在標(biāo)準(zhǔn)功能基礎(chǔ)上添加PEDM、密文管理和CIEM等功能。

主要特點：

?在Unix/Linux操作系統(tǒng)上的PEDM功能應(yīng)用表現(xiàn)較好;

?Delinea工具適用較順暢。

不足：

?多種解決方案捆綁會導(dǎo)致用戶成本迅速上升;

?缺失一些常見的功能，用戶需要安裝額外的工具或配置PowerShell命令;

?缺少管理服務(wù)和機器賬戶的功能。

傳送門：https://delinea.com/products/secret-server。

9、ARCON：PAM

ARCON公司提供了多種特權(quán)訪問管理工具，包括PAM Enterprise、Endpoint Privilege Management、My Vault和Global Remote Access，其中PAM Enterprise產(chǎn)品受到行業(yè)市場用戶的廣泛關(guān)注。

主要特點：

?在密碼庫、虛擬分組、單點登錄、短暫訪問、會話監(jiān)測等功能表現(xiàn)方面高于行業(yè)平均水準(zhǔn);

?有一套能力強大的密碼管理功能，包括安全密碼庫、頻繁的密碼更改以及多因素身份驗證和單點登錄;

?能夠提供特權(quán)活動的詳細審計跟蹤，附帶報告和分析。

不足：

?用戶界面繁瑣，飽受用戶詬病;

?產(chǎn)品組合較繁多，各種解決方案捆綁在一起會導(dǎo)致成本上升。

傳送門：https://arconnet.com/privileged-access-management/。

10、One Identity：Safeguard

One Identity旨在為各種類型的用戶提供統(tǒng)一的身份安全和訪問管理解決方法。其PASM功能主要通過Safeguard產(chǎn)品獲得，分為三個模塊：特權(quán)密碼管理、特權(quán)會話管理和特權(quán)使用分析。企業(yè)可以選擇購買單獨的模塊或?qū)⒏喈a(chǎn)品和工具添加到核心軟件包中，包括Active Roles、Identity、 Governance以及 Administration。

主要特點：

?具備特權(quán)會話管理和遠程訪、PAM生命周期管理、權(quán)限提升和委托管理、機器身份和密文管理等功能;

?易于使用，該產(chǎn)品有直觀的UI;

?可以為每個用戶分配一個獨立的支持賬戶。

不足：

?不提供CIEM工具，客戶僅能夠獲得有限的治理和審計功能;

?部門產(chǎn)品功能重疊，即使有Safeguard模塊套件，客戶仍需要添加其他One Identity產(chǎn)品才能獲得完整的功能。

傳送門：https://www.oneidentity.com/one-identity-safeguard/

參考鏈接：https://heimdalsecurity.com/blog/privileged-access-management-solutions/?source=sas&sscid=21k8_13pkf。