特權通路管理（PAM）指南（下）

在《特權通路管理（PAM）指南（上）》中已經介紹了特權通路管理的基本概念、相似概念辨析、以及示例，本文将繼續深入介紹特權通路管理對于企業身份安全的重要性、部署缺失的風險以及特權通路管理政策的制定方法。

01

為什麼特權通路管理很重要？

特權通路管的概念很身份和通路管理（IAM）相關性較高，兩者對于企業也都非常重要。本文主要探讨特權通路管理，但對于身份和通路管理業具有參考意義。對于企業來說，實施特權通路政策有不少優勢，其中部分優勢還需要着重強調。

  1）使用者情況一目了然

由于特權賬号的安全性比普通賬号更加重要，IT 管理者需要更加關注特權賬号的一舉一動。特權通路管理可以通過使用者行為分析和會話管理等解決方案對特權賬号進行有效監督。

使用者行為分析會跟蹤使用者使用計算機的習慣和模式，不斷分析是否存在暗示潛在威脅的異常情況，如賬号未授權。此外，使用者行為分析還會跟蹤使用者行為中的特定“怪癖”，如打字速度或打字模式，然後将這些特征與已有基準進行比較，如果檢測到兩者不比對，就會通知 IT 管理者這一變動。

會話管理可以規定使用者對某些應用和伺服器的通路限制時長，類似圖書館的公共計算機會預先設定上網時間限制，這一措施可以強制使用者定期重新登入，確定賬号使用都經過授權，進而提高安全性。

  2）強化身份和通路管理

多因素認證（MFA）也随着越來越多企業實行遠端辦公而開始普及，但還未達到普遍接受的安全标準。不過就現階段而言，多因素認證 MFA 等額外安全層對特權賬号來說卻變得格外重要。

特權通路管理部署了 MFA 等工具，給特權使用者帶來的時間和不便幾乎可以忽略不計，但是為黑客破解特權賬号，通路其中的敏感資訊增設了更多障礙：多因素身份認證 MFA 不僅需要使用者名和密碼，使用者還必須輸入一個額外的驗證因素，這些因素包括動态密碼（TOTP）或指紋，都是黑客難以複制的。

特權通路管理還意味着對特權使用者密碼進行嚴格限制，特别是要杜絕重複使用常用密碼，這些密碼可能也用于安全措施不到位的網站賬号。這時就需要用到單點登入（SSO），確定使用者僅登入一個平台就能自動登入通路需要使用的所有應用。SAML 協定使用的“密碼”通常是高度複雜的加密通路密鑰，黑客幾乎不可能破解。

02

不實施特權通路會有哪些風險？

最明顯的風險就是網絡攻擊。特權賬号持有者或多或少掌握着企業資産寶庫的鑰匙，具有最多使用者功能和權限，也最容易成為黑客的攻擊目标。黑客很早就發現通過合法賬号獲得通路權限比遠端入侵關鍵應用或伺服器更容易。是以，如果企業忽視特權賬号管理而造成特權賬号洩露，很有可能面臨前所未有的損失。 

除了來自黑客的風險之外，不實施特權通路管理在合規性方面也會産生很多問題。如果沒有一個集中平台管控相關政策，很難保證特權賬号持有者始終遵守法律法規，最終可能會導緻罰款或更嚴重的後果。此外，大多數特權通路管理系統都包含 MFA 和 SSO 等密保優勢，但沒有嚴謹的政策也很難展現。

03

如何制定特權通路管理政策？

确定了對特權通路管理的需求之後，企業可能想知道如何着手制定适合自身的相關政策。雖然沒有适合所有企業的萬能政策，但以下步驟可以保證企業不走彎路。 

  第1步：加強特權賬号登入安全

特權通路管理政策的第一步是提高特權使用者的安全通路要求，對于不受管理的特權賬号需要施加管理，進而密切監督特權使用者，確定其遵循安全政策和實踐，包括：

• 一個賬号一個密碼
• 設定複雜密碼  
• 設定複雜的安全問題答案
• 盡可能使用多因素身份認證 MFA

管理特權賬号可以掌握使用者通路情況，而為了進一步提高安全性，需要對這些賬号執行最低權限稽核，確定使用者不能通路與角色無關的應用或資訊。此外，企業應删除特權使用者不必要的通路權限，隻有必要的活躍使用者才能通路敏感資訊。原則上，有權通路關鍵資訊的人越少，特權通路管理政策就越安全。

  第2步：将特權通路管理擴充到使用者身份以外  

黑客的目标不僅是特權憑證，還有關鍵業務應用及所在系統。是以，制定安全政策的第二步是将伺服器基礎架構和終端使用者裝置與使用者身份統一管理。在不洩露根賬号密碼的情況下委派特權和授權，應用安全性可以提高十倍。 

統一管理後，企業可以為裝置和基礎設施引入單點登入 SSO 進一步減少終端使用者的密碼管理需求，增加了便利性，也讓 IT 管理者的安全監管更容易。

  第3步：雲內建

特權通路管理政策的黃金标準是與雲原生平台內建，滿足遠端和混合辦公需求的同時還簡化了 IT 部門的通路管理。在特權通路管理行業，這種技術稱為雲目錄平台或目錄雲平台。

現代雲目錄平台集目錄服務、網絡裝置特權賬号管理、目錄擴充、Web 應用單點登入 SSO 和多因素認證 MFA 等功能于一體，融合到優化後的 SaaS 解決方案中，提供了一種高效的技術組合。

雲目錄平台集中管理特權賬号，可立即映射到裝置、應用和網絡等 IT 資源，不受平台、廠商、位置或協定的限制，利用 LDAP、RADIUS、SAML 和 SCIM 等多種協定支援 IT 管理者無縫預配和取消預配，保證使用者通路企業資源的流暢和安全。