特权访问管理（PAM）指南（下）

在《特权访问管理(PAM)指南(上)》中已经介绍了特权访问管理的基本概念、相似概念辨析、以及示例，本文将继续深入介绍特权访问管理对于企业身份安全的重要性、部署缺失的风险以及特权访问管理策略的制定方法。

01

为什么特权访问管理很重要？

特权访问管的概念很身份和访问管理(IAM)相关性较高，两者对于企业也都非常重要。本文主要探讨特权访问管理，但对于身份和访问管理业具有参考意义。对于企业来说，实施特权访问策略有不少优势，其中部分优势还需要着重强调。

  1)用户情况一目了然

由于特权账号的安全性比普通账号更加重要，IT 管理员需要更加关注特权账号的一举一动。特权访问管理可以通过用户行为分析和会话管理等解决方案对特权账号进行有效监督。

用户行为分析会跟踪用户使用计算机的习惯和模式，不断分析是否存在暗示潜在威胁的异常情况，如账号未授权。此外，用户行为分析还会跟踪用户行为中的特定“怪癖”，如打字速度或打字模式，然后将这些特征与已有基准进行比较，如果检测到两者不匹配，就会通知 IT 管理员这一变动。

会话管理可以规定用户对某些应用和服务器的访问限制时长，类似图书馆的公共计算机会预先设置上网时间限制，这一措施可以强制用户定期重新登录，确保账号使用都经过授权，从而提高安全性。

  2)强化身份和访问管理

多因素认证(MFA)也随着越来越多企业实行远程办公而开始普及，但还未达到普遍接受的安全标准。不过就现阶段而言，多因素认证 MFA 等额外安全层对特权账号来说却变得格外重要。

特权访问管理部署了 MFA 等工具，给特权用户带来的时间和不便几乎可以忽略不计，但是为黑客破解特权账号，访问其中的敏感信息增设了更多障碍：多因素身份认证 MFA 不仅需要用户名和密码，用户还必须输入一个额外的验证因素，这些因素包括动态口令(TOTP)或指纹，都是黑客难以复制的。

特权访问管理还意味着对特权用户密码进行严格限制，特别是要杜绝重复使用常用密码，这些密码可能也用于安全措施不到位的网站账号。这时就需要用到单点登录(SSO)，确保用户仅登录一个平台就能自动登录访问需要使用的所有应用。SAML 协议使用的“密码”通常是高度复杂的加密访问密钥，黑客几乎不可能破解。

02

不实施特权访问会有哪些风险？

最明显的风险就是网络攻击。特权账号持有者或多或少掌握着企业资产宝库的钥匙，具有最多用户功能和权限，也最容易成为黑客的攻击目标。黑客很早就发现通过合法账号获得访问权限比远程入侵关键应用或服务器更容易。所以，如果企业忽视特权账号管理而造成特权账号泄露，很有可能面临前所未有的损失。 

除了来自黑客的风险之外，不实施特权访问管理在合规性方面也会产生很多问题。如果没有一个集中平台管控相关策略，很难保证特权账号持有者始终遵守法律法规，最终可能会导致罚款或更严重的后果。此外，大多数特权访问管理系统都包含 MFA 和 SSO 等密保优势，但没有严谨的策略也很难体现。

03

如何制定特权访问管理策略？

确定了对特权访问管理的需求之后，企业可能想知道如何着手制定适合自身的相关策略。虽然没有适合所有企业的万能策略，但以下步骤可以保证企业不走弯路。 

扫描二维码关注公众号，回复： 15309363 查看本文章

  第1步：加强特权账号登录安全

特权访问管理策略的第一步是提高特权用户的安全访问要求，对于不受管理的特权账号需要施加管理，从而密切监督特权用户，确保其遵循安全策略和实践，包括：

• 一个账号一个密码

• 设置复杂密码  

• 设置复杂的安全问题答案

• 尽可能使用多因素身份认证 MFA

管理特权账号可以掌握用户访问情况，而为了进一步提高安全性，需要对这些账号执行最低权限审核，确保用户不能访问与角色无关的应用或信息。此外，企业应删除特权用户不必要的访问权限，只有必要的活跃用户才能访问敏感信息。原则上，有权访问关键信息的人越少，特权访问管理策略就越安全。

  第2步：将特权访问管理扩展到用户身份以外  

黑客的目标不仅是特权凭证，还有关键业务应用及所在系统。因此，制定安全策略的第二步是将服务器基础架构和终端用户设备与用户身份统一管理。在不泄露根账号密码的情况下委派特权和授权，应用安全性可以提高十倍。 

统一管理后，企业可以为设备和基础设施引入单点登录 SSO 进一步减少终端用户的密码管理需求，增加了便利性，也让 IT 管理员的安全监管更容易。

  第3步：云集成

特权访问管理策略的黄金标准是与云原生平台集成，满足远程和混合办公需求的同时还简化了 IT 部门的访问管理。在特权访问管理行业，这种技术称为云目录平台或目录云平台。

现代云目录平台集目录服务、网络设备特权账号管理、目录扩展、Web 应用单点登录 SSO 和多因素认证 MFA 等功能于一体，融合到优化后的 SaaS 解决方案中，提供了一种高效的技术组合。

云目录平台集中管理特权账号，可立即映射到设备、应用和网络等 IT 资源，不受平台、厂商、位置或协议的限制，利用 LDAP、RADIUS、SAML 和 SCIM 等多种协议支持 IT 管理员无缝预配和取消预配，保证用户访问企业资源的流畅和安全。