特权访问管理阻力最小的途径
特权访问管理 (PAM) 已经存在 20 多年,它将关键帐户放入保险库中,以确保只有特定人员才能安全地访问它们。
从那时起,PAM 不断发展,现在专注于控制访问本身,这意味着防止广泛访问特定数据,并提供有关谁有访问权限以及何时访问帐户的见解。
特权帐户传统上被授予管理员以访问关键数据和应用程序。然而,不断变化的业务实践、敏捷软件开发和数字化转型意味着特权帐户变得越来越多,越来越普遍。
为了降低特权帐户被劫持或欺诈使用的风险,并在组织内坚持严格的监管合规性,适当的 PAM 解决方案至关重要。
总体而言,PAM 旨在提供一种以特权身份为中心的方法来控制访问,作为更大的身份生态系统的一部分。
PAM 通常专注于人类访问,现已扩展到包括特权帐户和非人类帐户,以管理凭据、访问的提升和委派以及日志跟踪记录契约、政策等。 PAM 实施了对身份安全至关重要的控制。
PAM 的优势非常显著,因为它可以阻止访问任何被视为特权的内容,从而提高数据安全性并降低风险,尤其是在帐户被盗用的情况下,因为它将影响范围限制在受控环境中。
这是通过控制端点上的管理访问、细分帐户和监控对帐户的访问来实现的。虽然这有助于改善组织的安全状况,但也带来了挑战。
PAM 实施的障碍
虽然 PAM 允许组织对帐户进行细分,在用户的标准访问权限和所需的特权访问权限之间设置一道屏障,并限制对不需要的信息的访问,但它也增加了内部和组织的复杂性。
这是因为它给人的印象是它剥夺了用户对他们通常有权使用的文件和帐户的访问权限,而他们并不总是理解为什么。
它可以改变他们既定的流程。他们看不到安全方面的好处,经常抵制这种方法,认为这是他们工作中的障碍,并导致团队之间的挫败感。因此,由于这种摩擦,人们认为 PAM 很难引入。
为了克服这一问题,公司必须从组织变革管理计划开始,让用户充分做好实施 PAM 的准备,阐明 PAM 如何消除对数据的直接特权访问,同时提高效率、一致性和自动化程度,并长期使用户和组织受益。如果公司忽视这一点,他们可能会遇到阻力。
为了最大限度地减少这种情况,PAM 供应商将便利性和安全性结合起来,为组织提供无缝的 PAM 解决方案。他们还将所有内容迁移到云端,以便更轻松地部署并提供更高效、更无缝的网络安全覆盖,从而获得更好的安全结果。
然而,对于许多担心将他们的王牌宝石放在云端的组织来说,这是一个担忧。虽然这是一个比 PAM 更广泛的问题,但它引起了重大担忧,并导致组织产生一些摩擦和阻力。
为了克服这个问题,重要的是要了解 PAM 的总体价值、用例、系统类型以及用户将如何从中受益,包括适当的应急计划。
陷入入职流程
实施 PAM 项目从帐户发现和帐户入职开始,这可能会导致公司在实施过程中陷入困境,无法获得高级 PAM 功能的好处。
不幸的是,许多公司没有超越这一点,因为他们开始这个过程时认为 PAM 就是将凭证放入保险库并轮换凭证,并没有意识到 PAM 提供的功能和特性更多,包括帐户方向、帐户保险库、云特权帐户管理生命周期、特权用户行为分析等等。
然而,他们往往没有意识到更广泛的好处,往往不会超越最初的入职流程来获取机会。
PAM 实施过程中的一个重大缺陷在于管理员缺乏全面的意识。他们通常没有所有帐户、相关访问级别、其用途、所有权或他们面临的安全问题程度的完整清单。
尽管 PAM 解决方案具有扫描和发现特权帐户的能力,但这些解决方案受到其收到的指令范围的限制,因此只能提供对系统访问和使用情况的部分可见性。
假设一家公司拥有一个特权 Windows 帐户,可以访问 100 台服务器。如果指示 PAM 发现此 Windows 帐户的范围,它可能只会识别该帐户之前访问过的服务器,而不会透露其访问的全部范围或执行的操作。
例如,如果该帐户已登录 10 台服务器,PAM 将检测到对这 10 台服务器的访问,但可能会完全忽略其余 90 台服务器,直到该帐户与它们交互。
这导致已知访问和潜在访问之间的差异,以及对使用该访问进行的实际活动的缺乏洞察力。
可以通过各种策略来缓解这一挑战,但它仍然是一个动态问题,使 PAM 解决方案的入职流程变得复杂。
公司经常陷入在进入后续实施阶段之前努力彻底解决此问题的陷阱。然而,达到“足够好”的状态并逐步实现未来的 PAM 功能可以让组织在以后填补和解决这些差距。
重点应该放在推进实施上,了解随着 PAM 系统的成熟可以进行改进和改进。
成功踏上PAM之旅
PAM 是身份访问和管理 (IAM) 旅程的一部分。随着您沿着这条路径前进,有机会选择 PAM 或其他 IAM 解决方案,例如云基础设施授权管理 (CIEM) 或身份治理和管理 (IGA)。
总体而言,通常最好选择一条路径开始并开始成熟,然后再开始下一条路径,所有这些都将导致 IAM 程序成熟。
采用战略性方法对待 PAM 也很重要,根据您的用例、要求和挑战了解旅程的起点。然后,一旦计划到位,就启动帐户发现流程并继续前进,而不是停滞不前并让惰性蔓延。
为了实现这一目标,与经验丰富的服务提供商合作是有益的,他们可以指导和管理流程,了解组织的现状和目标,并帮助完善身份结构的生态系统,从而帮助实现这一目标。
通过这样做,公司可以在第一年内看到 PAM 的初步好处,并在后续阶段达到运营成熟度。然而,值得注意的是,只有在制定了周密的计划和策略的情况下,PAM 才能成功降低风险、提高效率,同时尽量减少对业务的干扰。
同样重要的是,要彻底了解组织内的各种账户及其访问权限,从非人类账户到服务账户、机器人账户、应用程序账户等等。
此外,经验丰富的服务提供商可以提供方法、框架和流程,帮助解决与 PAM 相关的已知挑战。该提供商应制定路线图和策略,阐明如何处理账户问题并带领公司完成实施过程。