什麼是 Privileged Access Management (PAM)?
Privileged Access Management (PAM) 是一種身分識別安全性解決方案,可監控、偵測和防止對關鍵資源進行未經授權的特殊權限存取,以協助您保護組織不受網路威脅侵擾。PAM 透過結合人員、程序和技術加以運作,並讓您清楚掌握誰正在使用特殊權限帳戶,以及他們在登入時執行了哪些操作。限制可存取系統管理功能的使用者人數可提高系統安全性,而其他保護層可緩解威脅行為者所導致的資料外洩。
Privileged Access Management 如何運作?
PAM 解決方案會識別需要特殊權限存取的人員、程序和技術,並指定適用的原則。您的 PAM 解決方案必須具備支援您建立的原則的功能 (例如自動化密碼管理和 多重要素驗證),而且系統管理員應具備將建立、修改和刪除帳戶之程序自動化的能力。您的 PAM 解決方案也應持續監控工作階段,這樣您就可以產生報告來識別和調查異常。
Privileged Access Management 的兩個主要使用案例為防止認證竊取和實現合規性。
認證竊取是指威脅行為者竊取登入資訊以存取使用者帳戶的情況。登入後,他們可以存取組織資料、在各種裝置上安裝惡意程式碼,以及存取較高層級的系統。PAM 解決方案可針對所有系統管理身分識別和帳戶確保即時和足夠的存取權以及多重要素驗證,以緩解此風險。
無論適用於貴組織的合規性標準為何,可能需要最低權限原則,才能保護付款或個人健康資訊等敏感性資料。PAM 解決方案也能產生特殊權限使用者活動報告 (誰正在存取哪些資料及其原因),以便讓您證明合規性。
其他使用案例包括自動化使用者生命週期 (亦即帳戶建立、佈建和取消佈建)、監控和記錄特殊權限帳戶、保護遠端存取,以及控制第三方存取權。PAM 解決方案也可以套用到裝置 (物聯網)、雲端環境和 DevOps 專案。
誤用的特殊權限存取會造成網路安全性威脅,可能會對任何組織導致嚴重且廣泛的損害。PAM 解決方案提供健全的功能,可協助您預防此風險。
- 提供對關鍵資源的即時存取權
- 允許使用加密閘道 (而不是密碼) 來進行安全的遠端存取
- 監控特殊權限工作階段以支援調查稽核
- 分析可能對貴組織有害的不尋常特殊權限活動
- 擷取特殊權限帳戶事件以進行合規性稽核
- 產生特殊權限使用者存取和活動的相關報告
- 使用整合式密碼安全性保護 DevOps
特殊權限帳戶類型
超級使用者帳戶是系統管理員所使用的特殊權限帳戶,可在不受限制的狀態下存取檔案、目錄和資源。他們可以安裝軟體、變更設定,以及刪除使用者和資料。
特殊權限帳戶
特殊權限帳戶可提供非特殊權限帳戶 (例如標準使用者帳戶和來賓使用者帳戶) 以外的存取權和特殊權限。
網域系統管理員帳戶
網域系統管理員帳戶是系統中最高層級的控制權。這些帳戶可存取您整個網域的所有工作站和伺服器,並控制系統設定、系統管理員帳戶和群組成員資格。
本機系統管理員帳戶
本機系統管理員帳戶對特定伺服器或工作站具有系統管理控制權,而且通常是針對維護工作所建立。
應用程式系統管理員帳戶
應用程式系統管理員帳戶可完整存取特定應用程式和其中儲存的資料。
服務帳戶
服務帳戶有助於讓應用程式以更安全的方式與作業系統互動。
商務特殊權限使用者帳戶
商務特殊權限使用者帳戶具有以職責為基礎的高層級特殊權限。
緊急帳戶
緊急帳戶可為非特殊權限使用者提供系統管理存取權,萬一發生災害或中斷,就能保護系統。
PAM 與PIM
Privileged Access Management 可協助組織管理身分識別,並讓威脅行為者更難滲透網路並取得特殊權限帳戶存取權。這為特殊權限群組增加了一層保護,可控制對已加入網域的電腦以及這些電腦上的應用程式的存取權。PAM 也提供監控、可見度和經過微調的控制項,讓您能夠查看哪些人是特殊權限系統管理員,以及其帳戶的使用方式。
Privileged Identity Management (PIM) 提供以時間為基礎和以核准為基礎的角色啟用,可強制執行對這些帳戶的即時存取權和足夠存取權,以緩解對貴組織敏感性資源的過度、非必要或誤用的存取。為了進一步保護這些特殊權限帳戶,PIM 能讓您強制執行多重要素驗證等原則選項。
雖然 PAM 和 PIM 有許多相似之處,但 PAM 使用工具和技術來控制及監控對資源的存取權,並根據最低權限原則運作 (確保員工具備完成其工作的足夠存取權),而 PIM 則是使用有時間限制的存取權來控制系統管理員和超級使用者,並保護這些特殊權限帳戶。
Privileged Access Management 最佳做法
在您規劃和實作 PAM 解決方案的過程中,有一些值得注意的最佳做法,可協助您在貴組織中改善安全性並緩解風險。
需要多重要素驗證
使用多重要素驗證,為登入程序增加一層保護。存取帳戶或應用程式時,使用者必須透過另一部已驗證的裝置提供其他身分識別驗證。
自動化安全性
自動化安全性環境,以降低人為錯誤的風險並提高效率。例如,您可以自動限制權限,並在偵測到威脅時防止不安全或未經授權的動作。
移除端點使用者
識別並從 IT Windows 工作站的本機系統管理群組中移除非必要的端點使用者。威脅行為者可以使用系統管理員帳戶從某個工作站跳到另一個工作站,竊取其他認證並提升其權限以在網路中四處移動。
建立基準並監控偏差
稽核特殊權限存取活動,查看誰正在系統中執行什麼動作,以及特殊權限密碼的使用方式。了解可接受活動的基準可協助您發現可能會導致系統遭受入侵的偏差。
提供即時存取權
將最低權限原則套用到所有項目和所有人,然後視需要提升權限。這將能協助您根據信任、需求和權限層級,將系統和網路分割給不同的使用者和程序。
避免永久的特殊權限存取
請考慮提供臨時的即時存取權和足夠存取權,而不是永久的特殊權限存取。這有助於確保使用者有正當理由進行此類存取,並且僅限於所需的時間。
以使用者活動為基礎的存取控制
根據人員過去的活動和使用情況,只授與人員實際上會使用的資源的權限。旨在縮小已授與權限與已使用權限之間的差距。
Privileged Access Management 的重要性
就系統安全性而言,人員是最脆弱的環節,而特殊權限帳戶會對貴組織構成重大的風險。PAM 可讓安全性團隊具備識別因權限濫用所導致的惡意活動的能力,並立即採取行動以補救風險。PAM 解決方案可確保員工只具備完成其工作所需的必要存取層級。
除了識別與權限濫用有關的惡意活動,PAM 解決方案還能協助貴組織:
- 將安全性缺口的潛在風險降到最低。如果發生了外洩,PAM 解決方案有助於限制它在您系統中的觸及範圍。
- 減少威脅行為者的入口和途徑。人員、程序和應用程式的有限權限可防範內部和外部威脅。
- 防止惡意程式碼攻擊。如果惡意程式碼取得了立足點,移除過度權限有助於減少其擴散範圍。
- 建立更易於稽核的環境。使用活動記錄實現全方位安全性和風險管理策略,協助您監控並偵測可疑的活動。
如何實作 PAM 安全性
若要開始使用 Privileged Access Management,您需要制定計劃以:
- 提供所有特殊權限帳戶和身分識別的完整可見度。您的 PAM 解決方案應該能讓您查看使用者和工作負載所使用的所有權限。有了這樣的可見度後,就不需要預設系統管理員帳戶,而且可以套用最低權限原則。
- 控管和控制特殊權限存取。您將須隨時掌握有關特殊權限存取的最新資訊,以維持對權限提升的控制權,這樣才不會失控並導致組織的網路安全性處於風險之中。
- 監控和稽核特殊權限活動。制定定義特殊權限使用者之合法行為的原則,並識別違反這些原則的動作。
- 自動化 PAM 解決方案。您可以在數百萬個特殊權限帳戶、使用者和資產之間進行擴展,以改善安全性與合規性。自動化探索、管理和監控,以減少系統管理工作並降低複雜度。
視您的 IT 部門而定,您可能可以立即使用 PAM 解決方案,然後逐步新增模組以支援更大且更完善的功能。您也需要思考安全性控制建議,以符合合規性法規。
您也可以將 PAM 解決方案與 安全性資訊與事件管理 (SIEM) 解決方案整合。
Privileged Access Management 解決方案
單憑技術並不足以保護貴組織不受網路威脅侵擾。需要有一個全盤考量您的人員、程序和技術的解決方案。
了解 Microsoft 安全性 身分識別和存取權解決方案 如何保護您所有使用者、智慧型裝置和服務對緊密連結世界的存取,進而保護貴組織。
常見問題集
-
身分識別和存取權管理 (IAM) 包含多項規則和原則,用來控制可存取資源的人員、項目、時間、位置和方式。這些包括密碼管理、多重要素驗證、 單一登入 (SSO),以及使用者生命週期管理。
Privileged Access Management (PAM) 與保護特殊權限帳戶所需的程序和技術有關。它是一個 IAM 子集,可讓您控制和監控特殊權限使用者 (具備比標準使用者更高且更多的存取權) 在登入系統後的活動。
-
健全的工作階段管理是一種 PAM 安全性工具,可讓您查看特殊權限使用者 (貴組織中具備對系統和裝置的根存取權的人員) 在登入後所執行的動作。產生的稽核追蹤會提醒您是否有意外或刻意的特殊權限存取誤用情況。
-
Privileged Access Management (PAM) 可用來強化貴組織的安全性態勢。它能讓您控制對基礎結構和資料的存取權、設定系統,以及掃描弱點。
-
PAM 解決方案的優勢包括緩解安全性風險、降低營運成本和複雜度,提升整個組織的可見度和情境意識,以及改善法規合規性。
-
為貴組織決定 PAM 解決方案時,請確保其中包含多重要素驗證、工作階段管理和即時存取權功能、角色型安全性、即時通知、自動化,以及稽核和報告功能。
關注 Microsoft