特權賬號的濫用，可能會使基礎設施即服務(IaaS)等系統面臨更大的風險。特權訪問管理(Privileged Access Management，簡稱“PAM”)可以對特權賬號的訪問行為進行統一的管理審計，由此成為一項高優先級的網絡防御功能。但有效的PAM需要全面技術策略的支撐，包括對所有資產的特權賬戶擁有可見性和控制度。

特權賬號訪問可以理解為：實體(人或機器)使用管理員賬戶或高權限賬號，執行技術維護、IT系統變更或應急響應等工作。這些行為可能發生在本地，也可能發生在云端。技術人員的特權賬號不同于業務當中的高權限賬號，特權賬號可能對系統產生直接影響或變更，而高權限賬號只是訪問系統時擁有更高的權限。特權訪問風險源于特權賬號泛濫、使用特權時可能出現人為錯誤(比如管理員錯誤)，以及未經授權的特權提升(攻擊者用來在系統、平臺或環境上獲得更高級權限的手法)。

PAM控制機制能確保針對所有使用場景，授權特權賬號或憑據只進行其分內的操作行為。PAM適用于所有本地和遠程的人對機器或機器對機器特權訪問場景。由于PAM存儲敏感的憑據/秘密以及在不同系統中可以執行特權授權操作，這使得PAM可能成為攻擊者的目標，一旦攻擊者攻陷PAM系統，就可以獲得極大的收益。因此PAM可以被認為是一種關鍵基礎設施服務，這就需要PAM具備高可用性和恢復機制。

將PAM的重要性提升到一種網絡防御機制至關重要。它在實現零信任和深度防御策略方面發揮著關鍵作用，這些策略不單單滿足簡單的合規要求。一些組織可能選擇部署一組最基本的PAM控制機制以履行合規義務，對審計結果作出響應。然而，這些組織仍然容易受到諸多攻擊途徑的影響，比如服務賬戶、特權提升和橫向移動。雖然最基本的控制機制聊勝于無，但擴大PAM控制機制的覆蓋范圍可以緩解更廣泛的風險，從而抵御復雜的網絡攻擊。

傳統的PAM控制機制(比如零憑據保管和會話管理)可確保特權用戶、應用程序和服務及時獲得剛好適配的特權(Just Enough Privilege，簡稱“JEP”)，以降低訪問風險。雖然這種措施必不可少，但如果只是局部部署，效率低下。權限分配需強調實時性，保證特權賬戶能夠及時獲取權限，因此可以采用基于智能分析和自動化的授權行為。現階段PAM還需要額外的功能，確保能夠更廣泛地覆蓋云平臺、DevOps、微服務和機器人流程自動化(RPA)等場景，這些功能包括但不限于秘密管理(結合無秘密代理)和云基礎設施權限管理(CIEM)。

在Gartner的最新研究中，建議了部署/增強PAM架構策略的幾個關鍵步驟，如圖1所示。

圖1 部署/增強PAM架構策略的幾個關鍵步驟

現階段，安全和風險管理技術專業人員應做好以下工作：

• 創建與組織的網絡安全框架相一致的PAM控制機制覆蓋矩陣。利用該矩陣來開發基于風險的方法，以規劃和實施或增強PAM控制機制和覆蓋范圍。
• 部署覆蓋預期使用場景的解決方案，同時竭力采用零常設(zero standing)特權操作模型，從而實施PAM核心功能，包括治理、發現、保護、監控、審核和及時特權提升和委派。
• 擴展已部署的解決方案或與其他安全管理工具集成，從而實施額外的PAM功能。這些功能包括遠程支持、任務自動化(尤其在DevOps管道和基礎設施即代碼等使用場景中)、變更管理、漏洞評估及修復、秘密管理、無秘密代理以及云基礎設施權限管理。
• 將PAM解決方案與安全信息和事件管理(SIEM)以及IT服務管理(ITSM)工具集成。
• 使用高可用性設計和高級災難恢復流程(比如熱站點或冷站點，而不是簡單的本地備份和恢復)，確保PAM解決方案具有彈性。還要使用可靠的打碎玻璃(break-glass)方法，針對恢復場景做好規劃。

參考鏈接：

https://www.gartner.com/en/articles/why-and-how-to-prioritize-privileged-access-management。