文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

如何实现更有效的特权访问管理(PAM)

2024-12-02 03:12

关注

特权账号的滥用,可能会使基础设施即服务(IaaS)等系统面临更大的风险。特权访问管理(Privileged Access Management,简称“PAM”)可以对特权账号的访问行为进行统一的管理审计,由此成为一项高优先级的网络防御功能。但有效的PAM需要全面技术策略的支撑,包括对所有资产的特权账户拥有可见性和控制度。

特权账号访问可以理解为:实体(人或机器)使用管理员账户或高权限账号,执行技术维护、IT系统变更或应急响应等工作。这些行为可能发生在本地,也可能发生在云端。技术人员的特权账号不同于业务当中的高权限账号,特权账号可能对系统产生直接影响或变更,而高权限账号只是访问系统时拥有更高的权限。特权访问风险源于特权账号泛滥、使用特权时可能出现人为错误(比如管理员错误),以及未经授权的特权提升(攻击者用来在系统、平台或环境上获得更高级权限的手法)。

PAM控制机制能确保针对所有使用场景,授权特权账号或凭据只进行其分内的操作行为。PAM适用于所有本地和远程的人对机器或机器对机器特权访问场景。由于PAM存储敏感的凭据/秘密以及在不同系统中可以执行特权授权操作,这使得PAM可能成为攻击者的目标,一旦攻击者攻陷PAM系统,就可以获得极大的收益。因此PAM可以被认为是一种关键基础设施服务,这就需要PAM具备高可用性和恢复机制。

将PAM的重要性提升到一种网络防御机制至关重要。它在实现零信任和深度防御策略方面发挥着关键作用,这些策略不单单满足简单的合规要求。一些组织可能选择部署一组最基本的PAM控制机制以履行合规义务,对审计结果作出响应。然而,这些组织仍然容易受到诸多攻击途径的影响,比如服务账户、特权提升和横向移动。虽然最基本的控制机制聊胜于无,但扩大PAM控制机制的覆盖范围可以缓解更广泛的风险,从而抵御复杂的网络攻击。

传统的PAM控制机制(比如零凭据保管和会话管理)可确保特权用户、应用程序和服务及时获得刚好适配的特权(Just Enough Privilege,简称“JEP”),以降低访问风险。虽然这种措施必不可少,但如果只是局部部署,效率低下。权限分配需强调实时性,保证特权账户能够及时获取权限,因此可以采用基于智能分析和自动化的授权行为。现阶段PAM还需要额外的功能,确保能够更广泛地覆盖云平台、DevOps、微服务和机器人流程自动化(RPA)等场景,这些功能包括但不限于秘密管理(结合无秘密代理)和云基础设施权限管理(CIEM)。

在Gartner的最新研究中,建议了部署/增强PAM架构策略的几个关键步骤,如图1所示。

图1 部署/增强PAM架构策略的几个关键步骤

现阶段,安全和风险管理技术专业人员应做好以下工作:

参考链接:

https://www.gartner.com/en/articles/why-and-how-to-prioritize-privileged-access-management。

来源:安全牛内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯