特权账号的滥用，可能会使基础设施即服务（IaaS）等系统面临更大的风险。特权访问管理（Privileged Access Management，简称“PAM”）可以对特权账号的访问行为进行统一的管理审计，由此成为一项高优先级的网络防御功能。但有效的PAM需要全面技术策略的支撑，包括对所有资产的特权账户拥有可见性和控制度。

特权账号访问可以理解为：实体（人或机器）使用管理员账户或高权限账号，执行技术维护、IT系统变更或应急响应等工作。这些行为可能发生在本地，也可能发生在云端。技术人员的特权账号不同于业务当中的高权限账号，特权账号可能对系统产生直接影响或变更，而高权限账号只是访问系统时拥有更高的权限。特权访问风险源于特权账号泛滥、使用特权时可能出现人为错误（比如管理员错误），以及未经授权的特权提升（攻击者用来在系统、平台或环境上获得更高级权限的手法）。

PAM控制机制能确保针对所有使用场景，授权特权账号或凭据只进行其分内的操作行为。PAM适用于所有本地和远程的人对机器或机器对机器特权访问场景。由于PAM存储敏感的凭据/秘密以及在不同系统中可以执行特权授权操作，这使得PAM可能成为攻击者的目标，一旦攻击者攻陷PAM系统，就可以获得极大的收益。因此PAM可以被认为是一种关键基础设施服务，这就需要PAM具备高可用性和恢复机制。

将PAM的重要性提升到一种网络防御机制至关重要。它在实现零信任和深度防御策略方面发挥着关键作用，这些策略不单单满足简单的合规要求。一些组织可能选择部署一组最基本的PAM控制机制以履行合规义务，对审计结果作出响应。然而，这些组织仍然容易受到诸多攻击途径的影响，比如服务账户、特权提升和横向移动。虽然最基本的控制机制聊胜于无，但扩大PAM控制机制的覆盖范围可以缓解更广泛的风险，从而抵御复杂的网络攻击。

传统的PAM控制机制（比如零凭据保管和会话管理）可确保特权用户、应用程序和服务及时获得刚好适配的特权（Just Enough Privilege，简称“JEP”），以降低访问风险。虽然这种措施必不可少，但如果只是局部部署，效率低下。权限分配需强调实时性，保证特权账户能够及时获取权限，因此可以采用基于智能分析和自动化的授权行为。现阶段PAM还需要额外的功能，确保能够更广泛地覆盖云平台、DevOps、微服务和机器人流程自动化（RPA）等场景，这些功能包括但不限于秘密管理（结合无秘密代理）和云基础设施权限管理（CIEM）。

在Gartner的最新研究中，建议了部署/增强PAM架构策略的几个关键步骤，如图1所示。

图1 部署/增强PAM架构策略的几个关键步骤

现阶段，安全和风险管理技术专业人员应做好以下工作：

•创建与组织的网络安全框架相一致的PAM控制机制覆盖矩阵。利用该矩阵来开发基于风险的方法，以规划和实施或增强PAM控制机制和覆盖范围。

•部署覆盖预期使用场景的解决方案，同时竭力采用零常设（zero standing）特权操作模型，从而实施PAM核心功能，包括治理、发现、保护、监控、审核和及时特权提升和委派。

•扩展已部署的解决方案或与其他安全管理工具集成，从而实施额外的PAM功能。这些功能包括远程支持、任务自动化（尤其在DevOps管道和基础设施即代码等使用场景中）、变更管理、漏洞评估及修复、秘密管理、无秘密代理以及云基础设施权限管理。

•将PAM解决方案与安全信息和事件管理（SIEM）以及IT服务管理（ITSM）工具集成。

•使用高可用性设计和高级灾难恢复流程（比如热站点或冷站点，而不是简单的本地备份和恢复），确保PAM解决方案具有弹性。还要使用可靠的打碎玻璃（break-glass）方法，针对恢复场景做好规划。

参考链接：

https://www.gartner.com/en/articles/why-and-how-to-prioritize-privileged-access-management