特權訪問管理（PAM）指南（上）

試想一下，如果企業發生資料洩露，洩露哪種賬號對企業身份安全的威脅更大，實習生還是 IT 主管？

答案很簡單，實習生對企業應用和資料只有部分訪問許可權，但 IT 主管很有可能是特權賬號所有者，可以訪問更多資料、配置資訊還有其他使用者賬號沒有的“特權”。所以特權賬號被盜會給企業帶來災難性的後果。

網路犯罪分子往往會針對這些特權賬號，從中獲取對敏感資料或系統金鑰的訪問許可權。獲取特權賬號比直接入侵受保護系統更容易，而且不太引人注目，因為特權賬號有權訪問目標資料或系統。一旦使用者賬號許可權過多就會出現被攻擊的風險。

鑑於特權賬號洩露造成的嚴重影響，企業必須採取額外措施保護賬號安全。特權訪問管理（PAM）就是其中一種，透過結合各種流程、策略和產品最大限度地減少網路犯罪分子竊取特權賬號後的操作許可權。 其中最為常見的就是網路裝置特權訪問管理，也就是業內通常所說的網路裝置AAA管理。

接下來將介紹特權訪問管理的基本概念、相似概念辨析、以及示例。

1。 什麼是特權訪問管理？

特權訪問管理是保護企業特權使用者身份的一種方法。特權身份比起普通使用者在許可權方面具有可擴充套件性，特權指使用者可以進行的所有操作，包括訪問 IT 資源、使用 IT 資源時可用的功能，以及針對該資源在底層作業系統執行的命令。

如果熟悉身份和訪問管理（IAM），就可以把特權訪問管理當作針對特權賬號的身份和訪問管理。特權訪問管理基於最低特權原則，保護具有多種許可權的特殊賬號。

2。 最低特權、特權訪問和特權訪問管理

要完全理解特權訪問管理的概念，首先必須瞭解其執行原則：特權訪問和最低特權。

特權訪問指其身份可以訪問超出“標準”使用者賬號的任何使用者，這類使用者有時稱為超級使用者，可能具有某種型別的管理員許可權，或敏感資訊的訪問許可權，例如會計可以檢視公司的財務報表，人力資源部門可以檢視公司的人事檔案。

而最低許可權原則是將使用者的訪問許可權控制在儘可能少的應用和賬號上，但不限制訪問工作所需的資源。

最低許可權和特權訪問兩大原則的結合意味著只有特定賬號具有敏感資訊訪問許可權和管理許可權，同時所有賬號都具有最低限度的訪問許可權，這也是特權訪問管理的主要內容，簡單來說就是既要管理特權賬號所有者，又要確保所有賬號都具有必要的最低特權。

3。 特權訪問管理示例

如果還是覺得特權訪問管理的概念模糊抽象，可以看一下企業中的一些典型示例。

1）企業內部 IT 管理員賬號通常可以訪問和管理使用者密碼、用於遠端覆蓋以及遠端推送軟體更新的基礎工具等。而根據最低許可權原則，管理員賬號無法訪問與工作沒有直接關聯的應用和伺服器，因此無法檢視財務報表或人事檔案等敏感資訊。所以特權訪問管理的一個重要作用就是規定特權賬號的訪問許可權，保護特權賬號的訪問安全。

2）首席財務官（CFO）的特權賬號可以訪問公司所有財務檔案、報表和伺服器。但是最低許可權原則又限制了 CFO 無法訪問 IT 管理員的資源或市場營銷部門的雲應用。

3）簽約網頁設計師等專案合同工可能也有特權賬號可以訪問公司網站後臺。不過，最低許可權原則確保他們無法訪問僅限特定員工訪問的資源或資訊。

從這些

示例

可以看出，特權使用者並不侷限於某個高管或某個部門。選定使用者才能訪問的任何應用或伺服器都可以是特權，因此企業為了保障身份安全必須謹慎設定特權，同時可以考慮首先採用網路裝置特權訪問管理工具增強裝置安全。