PAM\IAM\堡壘機的區別與聯系

• 從定義上：

  PAM：通過管理和監控特權帳戶和訪問權限，幫助組織提供對關鍵資產的安全特權訪問，并滿足合規性要求。

  堡壘機：綜合了核心系統運維和安全審計管控兩大主干功能。

• 從技術實現上：

  堡壘機：通過切斷終端計算機對網絡和服務器資源的直接訪問，而采用協議代理的方式，接管了終端計算機對網絡和服務器的訪問，堡壘機的發展其中一個原因是由于傳統的旁路審計設備無法審計諸如RDP,SSH等加密協議，又無法給與訪問IP地址身份，導致堡壘機的技術不斷演變至今，另一個原因是由于賬號共用，分散，無法集中管理所引發的。

  IAM：定義和管理個人網絡用戶的角色和訪問權限，以及規定用戶獲得授權（或被拒絕授權）的條件。IAM系統的核心目標是為每個用戶賦予一個身份，從用戶登錄系統到權限授予到登出系統的整個過程中，根據需要在恰當的條件下及時賦予正確的用戶對企業內適當資產的訪問權。該數字身份一經建立，在用戶的整個“訪問生命周期”存續期間都應受到良好的維護、調整與監視。

• 從功能實現上：

  PAM與堡壘機似乎并無太大差別，兩者都在宣傳上都強調可以緩解數據泄露風險，但兩者的側重點是有所不同的。

  • 側重點方面：PAM旨在讓攻擊者更難訪問特權賬戶，并讓安全團隊監測到異常訪問的行為，要求對所有管理員或用戶（包括第三方）實施強制多因素認證，需要做賬號（自然人、應用、系統賬號等）的細粒度分析。而堡壘機在國內大多數，強調訪問控制與運維審計，旨在合規，防止誤操作。

  • 功能方面:PAM的密碼管理設備（HSM），應用程序密碼托管（AAPM）特權賬戶發現和管理，以及風險預測功能應該優于國內堡壘機，但國內堡壘機競爭激烈，為了迎合不同的客戶環境與需求，在功能（包括一些小功能）數量上應該多于PAM。

    IAM與PAM，前者重管理，后者重防御（運維、憑據管理等）。IAM與PAM雖然有些功能重復，比如MFA等，但兩者結合起來，IAM充當管家角色，PAM充當特權治理角色，所有的管理流程由IAM定義。

回答所涉及的環境：聯想天逸510S、Windows 10。