要了解特权身份,首先必须确定身份是什么,管理员可用于验证属于网络的用户的真实性的任何形式的唯一身份验证都是身份,这些包括密码、用户名、员工 ID、手机号码、安全答案等。
这些身份通常存储在 Active Directory 等目录中,并使用轻型目录访问协议(LDAP)等协议进行管理,这两种协议都分配了对网络内信息的特定级别的访问,调用该目录来验证用户输入的身份。
并非所有身份都是一样的,有权访问特权身份的用户可以访问关键控件,例如系统安全设置、管理功能、凭据管理功能、破窗配置、数据中心管理功能等。
这些特权用户的身份称为特权身份,通俗地说,特权身份是属于用户的任何身份,其角色应该有特权访问网络中的信息。特权身份的一些示例包括密码、SSH 密钥、SSL 证书、身份验证令牌、一次性密码(OTP)等。
在更广泛的方案中,PIM 和 PAM 都是身份和访问管理 (IAM) 的子集,用于监视、保护和管理企业身份。但是,在保护和管理特权身份时,PAM 和 PIM 起着至关重要的作用。为了更好地理解这种区别,让我们定义以下每个概念:
从这个角度来看,IAM 涵盖了整个企业垂直领域更广泛的访问模式,包括所有用户、系统、资源和资产,另一方面,PIM 和 PAM 涵盖了围绕特权资源和系统的访问模式。
如今,企业 IT 部门面临着提供对企业资源的精细访问的挑战。缺乏有关用户和数据请求者的上下文信息,这是在授予数据权限之前要考虑的重要因素。
特权身份在任何 IT 环境中都无处不在。IT 管理员、特权用户、第三方承包商、供应商、工程团队 - 每个人都需要访问特权帐户和凭据才能执行业务敏感操作。但是,如果这些身份未使用适当的访问控制策略进行保护,则更高的权限会带来更大的安全风险。对特权身份的松散管理可能会为攻击提供理想的机会,使其能够闯入组织的安全边界,并在不留下任何痕迹的情况下浏览业务敏感信息。此外,如果 IT 团队没有关于其员工使用其权限做什么或如何使用特权帐户的跟踪记录,则任何恶意内部人员都可以利用其权限并破坏业务数据以谋取私利。
任何企业的成功都取决于其处理的数据的隐私性和准确性。因此,管理和控制对数据和企业资产的访问对于任何组织来说都是至关重要的。同样,为了避免因数据泄露而受到任何处罚或诉讼,组织必须确保在验证对其数据的访问时简化工作流程。
话虽如此,特权身份管理(PIM)解决方案旨在集中、控制、跟踪和保护对特权帐户和身份的访问。这将使 IT 团队能够完全控制和查看其特权资产、资源和身份。PIM 工具还可以提供可操作的见解,以保持符合监管标准。
特权身份管理(PIM)是特权访问管理(PAM)过程的一部分,PIM 涉及一组安全控制,用于监视、控制和审核对企业特权身份(包括服务帐户、数据库帐户、密码、SSH 密钥、数字签名等)的访问。通过实施强大的 PIM 策略,企业可以降低特权滥用带来的安全风险。
PIM 解决方案专门设计用于帮助 IT 团队实施精细控制,并对其权限身份进行严格治理,从而有助于防止内部威胁和滥用用户权限。
PIM 鼓励组织确定谁可以访问哪些信息以及何时访问,它提倡通过屏幕录像和记录特权用户异常行为实例来监视网络中所有特权用户的活动等做法。
实施特权身份管理策略将帮助组织大幅减少网络攻击的漏洞,并在发生此类事件时缓解威胁响应程序,PIM 要求组织实践多重身份验证、受监管的密码重置,并要求员工遵守密码策略。
仔细研究有关特权身份滥用或任何其他网络攻击的数据泄露,问题的症结在于用户和资源管理不善。虽然上述用例将特权身份管理描述为最终解决方案,但它只是触及了表面。用户和资源管理是完美的特权身份管理方案的最主要但最关键的用例。
可以使用 PIM 解决方案合并企业级别的特权身份管理实践,PIM 软件解决方案有助于将特权身份管理策略自动化并推进到实际用途,例如:
鉴于特权身份管理是特权访问管理(PAM)的一部分,组织应考虑实施强大的 PAM 解决方案,该解决方案封装了 PIM 的固有用例,同时包括其他核心PAM控制,例如特权会话管理、安全远程访问、特权用户行为分析 (PUBA)、计算机身份管理、应用程序凭据安全性、实时特权提升、 等等。
PAM360 面向企业的统一特权访问管理解决方案。它使 IT 管理员和特权用户能够对关键 IT 资源(如密码、数字签名和证书、许可证密钥、文档、图像、服务帐户等)进行精细和全面的控制。
PAM360 是一个多合一的企业特权访问管理解决方案,允许 IT 团队有效地自动发现、存储和管理对特权身份的访问。PAM360 的原生特权用户行为分析(PUBA)允许组织审核特权用户的行为并实时报告异常情况,确保企业特权身份的端到端安全性。