1.4 特权访问管理 (PAM)
美国国防部模型
1.4.1 功能描述
该此能力最初侧重于通过首先创建特权账户管理 (PAM) 系统并将特权用户迁移到该系统来消除永久性管理员/提升的权限。然后,使用具有特权升级批准的自动化流程,并通过分析以进行异常检测来扩展该功能。
1.4.2 能力结果
国防部各机构在其 IT 环境中控制、监控、保护和审计特权身份(例如,通过密码保管、使用 PAWS [特权访问工作站] 的 JIT/JEA)。
1.4.3 模型解读
通过将具有高权限的用户迁移到PAM系统进行统一管理,控制系统管理员等具有高权限的用户账户,减少或消除系统管理员拥有永久性高权限的风险,通过自动化审批流程和行为分析,进一步加强对特权账户的控制和监控。
PAWS (Privileged Access Workstations): 专门用于执行特权操作的工作站,与普通工作站隔离,以提高安全性。注意PAWS不是堡垒机,可以将PAWS看作是堡垒机中的一个组件,专门用于执行特权操作。PAWS可以是一个物理机或虚拟机,也可以是一个容器,重点是提供一个安全隔离的环境。拿银行来举个简单的例子:
堡垒机: 就像银行的大门,所有进入银行的人员都要经过这里,登记身份,并接受检查。堡垒机可以记录所有进入银行的人员、时间、操作等信息。
PAWS: 就像银行金库中的一个独立房间,只有少数高权限的人员才能进入。在这个房间里,他们可以进行一些非常重要的操作,比如处理贵重物品。
1.4.4 对ZT的影响
通过限制管理员访问来保护、控制、监控和管理关键资产和应用程序。
1.4.5 ZT影响解读
限制管理员权限,符合零信任“最小权限原则”,即只授予用户必要的权限。通过监控和审计特权账户活动,可以及时发现和响应安全事件
1.4.6 活动
实施系统和迁移特权用户;实时批准和 JIT/JEA 分析。
1.4.7 活动解读
部署PAM系统,然后将所有具有特权的用户迁移到该系统进行管理。实时审批流程,对特权操作进行审批;并通过分析用户行为,及时发现和响应异常事件。JIT/JEA (Just-In-Time/Just-Enough-Access)仅在需要时授予用户必要的权限,并且权限在使用完成后立即撤销。
1.4.8 Gartner 研究
特权、管理员或过度授权的账户仍然是攻击者的主要目标之一,并且经常是重大数据泄露的责任方。特权包括管理权限、密钥和云权限。PAM 和 CIEM 工具的最佳实践可以保护人和机器的特权账户。
1.4.9 Gartner 研究解读
特权账户是攻击者最渴望获取的目标之一,因为可以利用这些账户进行横向移动、数据窃取等,一旦被控制,后果非常严重。
CIEM(Cloud Infrastructure and Entitlements Management)是云基础设施和授权管理系统,用于管理和控制云环境中的访问权限。实际落地中PAM可以替代CIEM,如:通过云环境的安全组限制访问来源,只允许指定的PAM IP才可以对访问云环境的管理端口,以此来实现云环境的特权用户管理。通过这些系统提供安全措施,如密码保险库、最小权限原则、审计等,可以实现对特权账户的最佳实践管理。
1.4.10 零信任7大支柱之用户支柱
为避免错过相关细节,点击以下链接可跳转至过往文章
扫一扫
384
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
