上一期内容向大家介绍了什么是特权访问管理的全生命周期,在每个生命周期阶段,相应的管理重点是什么。本期内容将介绍与之相对应的PAM安全控制该如何实施。
定义阶段
——主要的安全技术控制是策略和治理
PAM治理包括跨业务单元和功能领域的系统安装、公司和实施。大公司可能会选择先在部分业务板块中做PAM试点,然后再进行全公司推广。这时候,企业往往面临两种不同的选择:1. 先保护高影响系统,因为它们风险更大,需要优先进行PAM;2. 先在依赖较少的低影响系统上测试 PAM,确保方案的稳定可靠。
如何在PAM解决方案中设置特权身份、工作流、权限和报告取决于企业的治理方针。这包括设置命名约定的策略,根据部门或团队配置权限文件夹结构,设置共享密码的规则,定义与企业组织架构相匹配的审批流等等。PAM专家需要根据这些方针来配置PAM解决方案。
企业可以在内部管理和配置自己的PAM解决方案,也可以交由PAM提供商来提供托管或专业服务。
在定义本地PAM实施所需要的底层架构前,PAM专家需要与其他部门确认对内部IT环境和策略的要求(例如对高可用性和SLA的期望)。
如果企业是在内部安装PAM系统,还需要设置和测试分布式引擎、数据库、防火墙、路由器、故障转移和测试站点。
此外,在此阶段,还需要确定SQL管理员、AD管理员、IIS 管理员和任何其他将管理企业PAM解决方案的相关人员。
发现阶段
——主要的安全技术控制是发现和自动化
在此阶段,PAM专家需要运行发现流程,来查找所有需要特权的账号,包括人工账号、服务账号、端点上的本地管理员账号和应用程序。
发现流程包括Windows、Mac、Unix 和 VMware ESX/ ESXi账号以及 AWS 和 Azure 等云平台账号。此外,PowerShell 脚本还可以帮助您了解所有潜在的攻击媒介。
计划任务和应用程序池使用的特权账号,以及系统之间的所有依赖关系也是发现流程的一部分。
通过发现流程,您可以确定您的公司中当前有多少人拥有域管理员权限,并确定可以减少或共享这些权限的机会。例如,您可以用共享账号替换单个命名账号,并从 DA 组中删除命名账号。或者,您可以配置您的PAM解决方案,使其仅在使用时暂时属于 DA 组。
建立持续的发现流程非常重要,这样无论系统和人员如何变化,账号信息始终能够保持最新。
管理和保护阶段
——主要的安全技术控制是访问安全以及会话安全
访问安全是PAM的核心,它包括按照最小特权原则对特权凭证进行存储、委托和提升。它保障了特权账号的使用以及驻留在本地和云中的工作站和服务器上的关键业务应用程序和数据。
特权账号密码、证书和密钥需要被存储和管理在一个安全存储库中,并设置非常严格的权限,理想情况下需要MFA才能访问。
当用户或系统“检查”敏感信息时,PAM会在特定时间段内建立单一用户责任。您可以通过透明地注入受保护的凭据来自动建立交互式管理员登录会话,而无需将密码暴露给用户。
高级PAM解决方案可以充当代理,通过该代理执行管理会话,并自动将特权账号密码从其保管库中继到目标设备或应用程序。高级PAM程序能识别并删除嵌入式/硬编码密码,并用将密码注入应用程序或配置文件的 API 调用来替换它们。它们不是在磁盘上,那样容易被攻击者发现,它们通过被 API 调用替换,可以在运行时从保管库中获取密码。
您可以根据需要定期轮换凭证,而不会影响相关应用程序。您也可以在受控端点上随机轮换服务账号和本地账号。随着您的程序扩展到更多系统和部门,您可以为任何未连接外部的系统凭据设置自定义密码更改器。
您还可以创建模板,设置密码复杂程度,并定义可用于确定访问级别的影响评级的自定义字段。
会话保护对于允许第三方访问特权账号的公司尤其重要,高级PAM程序包括监视和记录特权会话活动以及允许多级批准以授予或拒绝对敏感数据或特殊访问权限的工作流关键系统。
添加MFA可以提供额外的身份保证,这包括在保管库登录、秘密签出、会话建立、以及在服务器登录和权限提升期间。
监控
——主要的安全技术控制是审计和监控
会话监控增加了对特权账号使用的监督,并允许实时或事后深入分析特权会话活动。借助“四眼”功能,您可以实时收看会话、监督远程连接、修改权限,甚至终止连接。
检测
——主要的安全技术控制是行为分析
某些活动、系统、应用程序、云服务、容器的风险相对较低,而另一些负责敏感数据或关键业务操作的行为则具有较高的风险。
高级PAM程序集成了来自SIEM解决方案或其他风险标准的威胁分析和风险排名,可以帮助指导决策。
此外,行为分析可以跟踪特权账号活动、识别模式和识别可疑行为,自动拒绝访问或提示用户提供第二个因素来证明其身份。
行动响应阶段
——主要的安全技术控制是事件响应和恢复
根据您设置的分析,系统可以触发警报或执行自动响应。例如,当收到可疑行为警报时,管理员可能希望立即轮换凭证或终止或暂停会话。而在调查并清除事件后,管理员可以重置为基线。
当配置为异地冗余和高可用性时,高级PAM系统具有内置的冗余和故障转移。
审查和审计阶段
——主要的安全技术控制是审计和监控
高级PAM程序包括了使用不可变审计日志记录特权活动,支持保存的搜索、临时查询、报告、回放用于视觉调查、审计和事件取证。
在日志中,需要记录员工为什么需要访问特权账号的内容,以此帮助判断是否可以委派特定任务。当域管理员成员组和其他特权组发生变化时,需要向经理、团队领导或信息安全设置警报或电子邮件。
此阶段需要将日志转发到SysLog服务器,或者,如果登录AD,可以使用 Windows 事件转发。
使用自动化和共享报告可以提高可见性并不断改进您的PAM计划。