如何實現更有效的特權訪問管理（PAM）

特權賬號的濫用，可能會使基礎設施即服務（IaaS）等系統面臨更大的風險。特權訪問管理（Privileged Access Management，簡稱“PAM”）可以對特權賬號的訪問行為進行統一的管理審計，由此成為一項高優先級的網絡防御功能。但有效的PAM需要全面技術策略的支撐，包括對所有資產的特權賬戶擁有可見性和控制度。

特權賬號訪問可以理解為：實體（人或機器）使用管理員賬戶或高權限賬號，執行技術維護、IT系統變更或應急響應等工作。這些行為可能發生在本地，也可能發生在云端。技術人員的特權賬號不同于業務當中的高權限賬號，特權賬號可能對系統產生直接影響或變更，而高權限賬號只是訪問系統時擁有更高的權限。特權訪問風險源于特權賬號泛濫、使用特權時可能出現人為錯誤（比如管理員錯誤），以及未經授權的特權提升（攻擊者用來在系統、平臺或環境上獲得更高級權限的手法）。

PAM控制機制能確保針對所有使用場景，授權特權賬號或憑據只進行其分內的操作行為。PAM適用于所有本地和遠程的人對機器或機器對機器特權訪問場景。由于PAM存儲敏感的憑據/秘密以及在不同系統中可以執行特權授權操作，這使得PAM可能成為攻擊者的目標，一旦攻擊者攻陷PAM系統，就可以獲得極大的收益。因此PAM可以被認為是一種關鍵基礎設施服務，這就需要PAM具備高可用性和恢復機制。

將PAM的重要性提升到一種網絡防御機制至關重要。它在實現零信任和深度防御策略方面發揮著關鍵作用，這些策略不單單滿足簡單的合規要求。一些組織可能選擇部署一組最基本的PAM控制機制以履行合規義務，對審計結果作出響應。然而，這些組織仍然容易受到諸多攻擊途徑的影響，比如服務賬戶、特權提升和橫向移動。雖然最基本的控制機制聊勝于無，但擴大PAM控制機制的覆蓋范圍可以緩解更廣泛的風險，從而抵御復雜的網絡攻擊。

傳統的PAM控制機制（比如零憑據保管和會話管理）可確保特權用戶、應用程序和服務及時獲得剛好適配的特權（Just Enough Privilege，簡稱“JEP”），以降低訪問風險。雖然這種措施必不可少，但如果只是局部部署，效率低下。權限分配需強調實時性，保證特權賬戶能夠及時獲取權限，因此可以采用基于智能分析和自動化的授權行為。現階段PAM還需要額外的功能，確保能夠更廣泛地覆蓋云平臺、DevOps、微服務和機器人流程自動化（RPA）等場景，這些功能包括但不限于秘密管理（結合無秘密代理）和云基礎設施權限管理（CIEM）。

在Gartner的最新研究中，建議了部署/增強PAM架構策略的幾個關鍵步驟，如圖1所示。

圖1 部署/增強PAM架構策略的幾個關鍵步驟

現階段，安全和風險管理技術專業人員應做好以下工作：

?創建與組織的網絡安全框架相一致的PAM控制機制覆蓋矩陣。利用該矩陣來開發基于風險的方法，以規劃和實施或增強PAM控制機制和覆蓋范圍。

?部署覆蓋預期使用場景的解決方案，同時竭力采用零常設（zero standing）特權操作模型，從而實施PAM核心功能，包括治理、發現、保護、監控、審核和及時特權提升和委派。

?擴展已部署的解決方案或與其他安全管理工具集成，從而實施額外的PAM功能。這些功能包括遠程支持、任務自動化（尤其在DevOps管道和基礎設施即代碼等使用場景中）、變更管理、漏洞評估及修復、秘密管理、無秘密代理以及云基礎設施權限管理。

?將PAM解決方案與安全信息和事件管理（SIEM）以及IT服務管理（ITSM）工具集成。

?使用高可用性設計和高級災難恢復流程（比如熱站點或冷站點，而不是簡單的本地備份和恢復），確保PAM解決方案具有彈性。還要使用可靠的打碎玻璃（break-glass）方法，針對恢復場景做好規劃。