特权账号的滥用,可能会使基础设施即服务(IaaS)等系统面临更大的风险。特权访问管理(Privileged Access Management,简称“PAM”)可以对特权账号的访问行为进行统一的管理审计,由此成为一项高优先级的网络防御功能。但有效的PAM需要全面技术策略的支撑,包括对所有资产的特权账户拥有可见性和控制度。
特权账号访问可以理解为:实体(人或机器)使用管理员账户或高权限账号,执行技术维护、IT系统变更或应急响应等工作。这些行为可能发生在本地,也可能发生在云端。技术人员的特权账号不同于业务当中的高权限账号,特权账号可能对系统产生直接影响或变更,而高权限账号只是访问系统时拥有更高的权限。特权访问风险源于特权账号泛滥、使用特权时可能出现人为错误(比如管理员错误),以及未经授权的特权提升(攻击者用来在系统、平台或环境上获得更高级权限的手法)。
PAM控制机制能确保针对所有使用场景,授权特权账号或凭据只进行其分内的操作行为。PAM适用于所有本地和远程的人对机器或机器对机器特权访问场景。由于PAM存储敏感的凭据/秘密以及在不同系统中可以执行特权授权操作,这使得PAM可能成为攻击者的目标,一旦攻击者攻陷PAM系统,就可以获得极大的收益。因此PAM可以被认为是一种关键基础设施服务,这就需要PAM具备高可用性和恢复机制。
将PAM的重要性提升到一种网络防御机制至关重要。它在实现零信任和深度防御策略方面发挥着关键作用,这些策略不单单满足简单的合规要求。一些组织可能选择部署一组最基本的PAM控制机制以履行合规义务,对审计结果作出响应。然而,这些组织仍然容易受到诸多攻击途径的影响,比如服务账户、特权提升和横向移动。虽然最基本的控制机制聊胜于无,但扩大PAM控制机制的覆盖范围可以缓解更广泛的风险,从而抵御复杂的网络攻击。
传统的PAM控制机制(比如零凭据保管和会话管理)可确保特权用户、应用程序和服务及时获得刚好适配的特权(Just Enough Privilege,简称“JEP”),以降低访问风险。虽然这种措施必不可少,但如果只是局部部署,效率低下。权限分配需强调实时性,保证特权账户能够及时获取权限,因此可以采用基于智能分析和自动化的授权行为。现阶段PAM还需要额外的功能,确保能够更广泛地覆盖云平台、DevOps、微服务和机器人流程自动化(RPA)等场景,这些功能包括但不限于秘密管理(结合无秘密代理)和云基础设施权限管理(CIEM)。
在Gartner的最新研究中,建议了部署/增强PAM架构策略的几个关键步骤,如图1所示。
图1 部署/增强PAM架构策略的几个关键步骤
现阶段,安全和风险管理技术专业人员应做好以下工作:
•创建与组织的网络安全框架相一致的PAM控制机制覆盖矩阵。利用该矩阵来开发基于风险的方法,以规划和实施或增强PAM控制机制和覆盖范围。
•部署覆盖预期使用场景的解决方案,同时竭力采用零常设(zero standing)特权操作模型,从而实施PAM核心功能,包括治理、发现、保护、监控、审核和及时特权提升和委派。
•扩展已部署的解决方案或与其他安全管理工具集成,从而实施额外的PAM功能。这些功能包括远程支持、任务自动化(尤其在DevOps管道和基础设施即代码等使用场景中)、变更管理、漏洞评估及修复、秘密管理、无秘密代理以及云基础设施权限管理。
•将PAM解决方案与安全信息和事件管理(SIEM)以及IT服务管理(ITSM)工具集成。
•使用高可用性设计和高级灾难恢复流程(比如热站点或冷站点,而不是简单的本地备份和恢复),确保PAM解决方案具有弹性。还要使用可靠的打碎玻璃(break-glass)方法,针对恢复场景做好规划。