特權賬戶往往能夠訪問到企業中最重要的數據和信息，因此會成為攻擊者競相追逐的目標。為了保障數字化業務的安全開展，組織必須對各種特權賬號的使用情況和異常行為進行有效的監控和管理。但在實際應用中，企業要真正落地特權訪問管理(PAM)并不容易，需要借助先進技術工具的支撐，實現特權賬戶可見和可控。本文收集整理了目前較熱門的10款特權訪問管理解決方案，并對其應用特點進行了簡要分析。

1、JumpCloud：Directory Platform

圖片

JumpCloud是一家面向組織的IT部門、人事部門和網絡安全運營團隊提供統一身份安全管理解決方案的專業服務商，可以為用戶提供PAM、IAM、MFA等多種身份安全工具，企業可根據自身需求靈活選擇單點功能和完整方案。在PAM方面，JumpCloud最有代表性的產品是Directory Platform，提供了對特權訪問管理的完善功能和應用保護。

主要特點：

?具備訪問控制權限、合規管理、密碼管理、訪問管理、憑據管理、單點登錄、多因素身份驗證、用戶管理等較全面的功能;

?能夠在統一平臺便捷管理多個用戶和設備;

?同時具備單點登錄和IAM的功能，帶給各類用戶一直的登錄體驗;

?產品整體導航界面設計間接、直觀，易于非專業人員使用。

不足:

?僅提供有限的Mac MDM支持，對Mac環境中的移動設備管理能力不足;

?技術支持文檔數量有限，不如其他廠商豐富;

?一些用戶表示，希望Directory Platform有提供更廣泛的跟蹤、審計和報告功能。

傳送門：https://jumpcloud.com/

2、CyberArk：Privileged Access Manager

圖片

CyberArk公司已經成立了20多年，為企業級身份安全市場帶來了很多技術應用的創新，包括保險庫技術、密文管理和CIEM功能。該公司推出的Privileged Access Manager特權訪問解決方案，能夠為系統管理員和安全團隊提供對特權賬號的強大控制能力和靈活性。它還結合了訪問管理和應用程序控制功能，并符合通用的行業標準。

主要特點：

?具備訪問控制權限、合規管理、密碼管理、憑據管理、身份驗證等較完整的PAM基礎功能;

?應用規模和市場份額較高，形成了較龐大的合作伙伴生態系統，能夠與其他相關技術廣泛整合;

?提供較廣泛的新一代網絡安全訪問控制功能，包括適時訪問、CIEM和密文管理等。

不足：

?產品應用的專業性要求較高，普通用戶很難區分重疊的功能套件和管理設置;

?在PSM等一些創新功能方面表現不佳;

?產品始終定位于PAM市場的高端用戶，對中小型企業不夠友好。

傳送門：https://www.cyberark.com/products/privileged-access-manager/。

3、ManageEngine：PAM360

ManageEngine能夠提供較完整的身份安全和訪問管理產品，其中在特權訪問管理方面最重要的產品是PAM360。該產品有標準化的特權訪問和會話管理(PASM)控制套件，同時也能夠提供特權提升和委托管理(PEDM)等功能。

主要特點：

?產品售價較低，適合關注性價比的企業組織;

?客戶群分布廣泛，遍布全球多個地區，主要包括歐洲、非洲、北美州和亞太等;

?PAM360有較強大的特權賬號發現功能，可以識別眾多應用系統和復雜網絡環境上的特權賬戶。

不足：

?完整版功能需要通過耗費資源的HTML5瀏覽器會話模擬實現;

?PEDM的功能表現有待改進;

?在密文管理、CIEM和特權憑據管理等方面的用戶評價低于其他產品。

傳送門：https://www.manageengine.com/privileged-access-management/。

4、BeyondTrust：Total PASM

BeyondTrust也是一家業務遍及全球的特權訪問管理提供商，其代表性客戶是一些特大型的跨國企業組織。目前，公司提供兩種主要的特權訪問產品：Privileged Remote Access和Password Safe，它們可以整合到一個完整的Total PASM解決方案中，方案提供了特權提升和委托管理(PEDM)功能。

主要特點：

?具備較完善的PAM基礎性功能，包括訪問控制權限、合規管理、密碼管理、憑據管理、多因素身份驗證、用戶管理等;

?能夠支持UNIX/Linux系統環境是其一大亮點，被認為是UNIX/Linux操作系統下的首選PAM方案之一;

?具有易于使用的特權賬號發現功能。

不足：

?定價較高，主要面向行業頂端的大型企業客戶;

?集成的單點工具繁多，應用成本和復雜性持續上升;

?單點登錄、MFA和PEDM等工具未出現在整個PASM套件中，客戶需要另外購買。

傳送門：https://www.beyondtrust.com/products/total-pasm。

5、Okta：Privileged Access

Okta是一家專注為云原生型組織提供身份安全服務和產品的供應商，其主要的PAM產品Privileged Access是其代表性Workforce Identity Cloud產品套件的一個組成部分，提供了多因素身份驗證、單點登錄和生命周期管理等功能。

主要特點：

?Okta提供的PAM工具能夠與傳統的PAM軟件輕松集成;

?Privileged Access工具套件能夠在公有云、私有云或混合云環境中順暢使用;

?具有強大的自動化導入和管理能力，便于用戶使用。

不足：

?在安全審計和合規管理方面存在不足;

?基于資源的定價模式會增加用戶的使用成本和復雜性;

?用戶只能管理和控制團隊的訪問，限制控制措施的精細度。

傳送門：https://www.okta.com/products/privileged-access/。

6、微軟：Entra ID

圖片

微軟Entra ID是微軟Azure Active Directory的新名稱，這項新服務于2023年底升級推出。任何使用Windows 11、Microsoft 365或Azure服務的組織都可以享用基本的Microsoft Entra ID軟件包，它充當了所有微軟客戶現有身份和訪問管理功能的擴展服務。

主要特點：

?Microsoft Entra ID能夠與微軟公司的其他服務有效兼容，對使用Windows的組織頗有吸引力。

?為所有用戶提供免費軟件包，并提供增強功能的收費套餐;

?各項安全工具都能很好適用于云和混合云環境。

不足：

?產品的套餐較多，用戶很難弄清楚不同套餐的差別，以及如何與Microsoft 365和E5軟件包交互;

?用戶管理界面較復雜，Entra ID的布局和UI有待簡化;

?僅支持微軟系統環境，非微軟用戶可能覺得它不很實用。

傳送門：https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-id。

7、WALLIX：Bastion

WALLIX公司是PAM市場中的一家老牌廠商，早在2007年就推出了其第一代特權訪問管理產品。目前，公司最主要產品的是WALLIX Bastion標準化套件，全面涵蓋了PASM的各項功能。同時，公司還通過WALLIX BestSafe提供PEDM工具。

主要特點：

?擁有功能全面的PASM單點工具，包括會話監控和審計功能;

?產品定價較低，通常頗具競爭力;

?有直觀的UI界面設計，產品易于使用。

不足：

?密碼輪換策略不適用于大多數系統或服務賬戶;

?WALLIX Bastion不提供云基礎設施授權管理(CIEM)功能，對希望自動掃描并識別特權用戶的組織來說不太適用。

傳送門：https://www.wallix.com/privileged-access-management/。

8、Delinea：Secret Server

圖片

Delinea公司主要提供廣泛的特權訪問安全控制能力。通過Secret Server產品，用戶可以獲取標準的PASM功能，用于管理特權用戶和會話。此外，還可以通過額外的工具，如Privileged Behavior Analytics、Privilege Manager和Account Lifecycle Manager等，在標準功能基礎上添加PEDM、密文管理和CIEM等功能。

主要特點：

?在Unix/Linux操作系統上的PEDM功能應用表現較好;

?Delinea工具適用較順暢。

不足：

?多種解決方案捆綁會導致用戶成本迅速上升;

?缺失一些常見的功能，用戶需要安裝額外的工具或配置PowerShell命令;

?缺少管理服務和機器賬戶的功能。

傳送門：https://delinea.com/products/secret-server。

9、ARCON：PAM

ARCON公司提供了多種特權訪問管理工具，包括PAM Enterprise、Endpoint Privilege Management、My Vault和Global Remote Access，其中PAM Enterprise產品受到行業市場用戶的廣泛關注。

主要特點：

?在密碼庫、虛擬分組、單點登錄、短暫訪問、會話監測等功能表現方面高于行業平均水準;

?有一套能力強大的密碼管理功能，包括安全密碼庫、頻繁的密碼更改以及多因素身份驗證和單點登錄;

?能夠提供特權活動的詳細審計跟蹤，附帶報告和分析。

不足：

?用戶界面繁瑣，飽受用戶詬病;

?產品組合較繁多，各種解決方案捆綁在一起會導致成本上升。

傳送門：https://arconnet.com/privileged-access-management/。

10、One Identity：Safeguard

One Identity旨在為各種類型的用戶提供統一的身份安全和訪問管理解決方法。其PASM功能主要通過Safeguard產品獲得，分為三個模塊：特權密碼管理、特權會話管理和特權使用分析。企業可以選擇購買單獨的模塊或將更多產品和工具添加到核心軟件包中，包括Active Roles、Identity、 Governance以及 Administration。

主要特點：

?具備特權會話管理和遠程訪、PAM生命周期管理、權限提升和委托管理、機器身份和密文管理等功能;

?易于使用，該產品有直觀的UI;

?可以為每個用戶分配一個獨立的支持賬戶。

不足：

?不提供CIEM工具，客戶僅能夠獲得有限的治理和審計功能;

?部門產品功能重疊，即使有Safeguard模塊套件，客戶仍需要添加其他One Identity產品才能獲得完整的功能。

傳送門：https://www.oneidentity.com/one-identity-safeguard/

參考鏈接：https://heimdalsecurity.com/blog/privileged-access-management-solutions/?source=sas&sscid=21k8_13pkf。