PDF《DCLive》

DCLive 特权访问管理 Privileged Access Management 随着信息化与业务内容及模式日渐紧密的融合,IT 合规成为企业合规与内控中不可或缺的重要一环.

特 权访问管理归属于 IT 合规 / 身份管理领域中的一个特定场景,即对能给企业 IT 架构安全造成重大风险的高权 限账号使用的管控.特权账号一旦被盗取或被恶意使用极可能给业务连续运行和核心信息安全带来重大甚至不 可挽回的损失.因此, 《信息系统等级保护基本要求》将特权访问管理作为评级为等保第三级及以上信息系统 的必要安保技术措施之一. 设备、系统、应用中设定有管理员账号,可对系统进行部署、配置变更、重启、删除等高危操作.且系统 都设计有默认特权账号, 例如root、 administrator、 admin等.在运维实践中, 特权账号, 特别是默认特权账号, 通常由多个运维人员共同掌握.且运维人员为方便记忆,习惯在多个不同系统中创建相同的特权账号.这些运 维实践不能满足《等保基本要求》中的身份标识唯一性、 以单个用户为颗粒度的授权控制、 和安全审计等要求, 也增加了特权账号被盗用的风险.构建特权访问管理(Privileged Access Management,PAM)解决方案, 或称堡垒机,成为企业建设信息安全时的必要措施. 企业在构建特权访问管理(Privileged Access Management,PAM)解决方案过程中须应对以下几个 挑战. 特权账号使用权限的控制 首先需要将运维人员身份识别与特权账号使用分离开来.PAM 通过用户名 + 口令、双因素、生物信息识 别等认证技术对运维人员身份进行唯一性识别.PAM 集中管理特权账号的用户名 + 口令或登录秘钥等登录信 息,并细颗粒度地定义和控制运维人员使用特权账号登录目标系统的权限.例如,对运维人员使用特权账号的 场景做细致的分析,从操作位置、操作时间、人员身份、目标对象等四个角度来控制特权账号的使用.

一、特权访问与合规

二、PAM 面临的挑战 特权账号的保护 特权账号保护需解决三个层面的挑战.第一层,PAM 需要管理所有设备、系统、业务应用中存在的所有 特权账号.第二层,PAM 需对特权账号的口令或秘钥定期更新.第三层,PAM 中的特权账号存储须安全且 高可用. 在第一层面上面临的挑战是如何做到无遗漏地归集所有设备、系统、业务应用中的特权账号,并能够定期 清理或归集目标系统上新增的特权账号.若手工完成此项工作则将耗费大量的人力与时间,且不能难免遗漏. 自动化或部分自动化将是应对此挑战的关键. 在第二层面上面临的挑战是特权账号口令定期更新过程的完整性管理.PAM 须定期对所有被管理的特权 账号进行自动更新,并在更新后对新口令的有效性进行验证,若出现异常则能自动修复. 等级保护 定级备案 等级保护方案设计 等级保护测评 等级保护建设/整改实施 等级保护检查咨询 等级保护建设等级保护方案设计等级保护测评定级 备案/整改实施等级保护检查 咨询 在第三层面上面临的挑战是口令的安全与可用性管理.特权账号的口令须加密存储,入侵者无法获得明文 口令.口令的存储空间需有完整性设计,能验证是否曾遭受侵入.特权账号口令高可用性需通过冗余的在线存 储空间叠加离线的存储空间的方式来实现. 访问接口的管理 访问接口管理的挑战在于, 设备、 系统、 和业务应用的多样性造成了接口类型与数据格式的多样性. PAM 需 要能够支持企业 IT 基础架构上所有存在的特权访问接口. 可以将特权访问接口分为带内、带外两大类. 带内接口 是指由操作系统或业务应用提供的管理接口, 例如 RDP、 VNC、 X