零信任架构下的特权访问管理

引言

随着大规模远程办公模式的推行,网络连接成为组织关注的核心。IT管理员迅速部署了视频会议、直播、在线教育、云应用及相关资源,为远程终端用户提供支持。如今,许多组织已明确表示将延长远程办公(WFH)期限,远程办公与混合办公模式显然将长期存在。本文将阐述新工作环境下的安全隐患,解读组织向零信任思维模式的转变,以及特权访问管理在支持零信任安全模型中的重要意义。

无差别访问的隐患

远程办公政策带来的变革,以及不惜一切代价保障员工生产力的需求,推动了技术访问权限的快速下放。这种访问往往绕过了权限申请的常规制衡机制。远程办公的广泛采用引发了以下现象:

  • 商业、医疗、教育及政府领域加速采用云技术,将部分本地服务快速迁移至采用公共互联网接入点的软件即服务(SaaS)应用;
  • 员工获得了访问企业网络外资源的权限;
  • 组织迅速签订新的IT供应商合同,导致更多第三方获得企业基础设施和应用的访问权限;
  • 虚拟专用网络(VPN)规模扩大,使得许可成本上升,记录在案的IT事件数量增加;
  • 企业采购笔记本电脑并配置高级访问权限后迅速发放,以确保员工能快速投入工作;
  • 员工搭建家庭办公环境,通过个人手机、笔记本电脑、平板电脑,部分情况下甚至是家庭共享设备访问工作系统。这些个人设备的安全配置通常较为薄弱,且用户可能使用相同凭证登录电商购物网站、社交媒体和家庭娱乐平台,这意味着存在安全漏洞的设备访问存储企业数据的应用程序的风险大幅增加;
  • 原本不支持远程办公的企业,如今需应对大量已知和未知终端通过不安全的Wi-Fi网络访问其网络的情况;
  • 以往由IT团队监控和维护的软件中存储的企业数据,现在转移到了缺乏管控的SaaS应用中,且这些应用可能使用共享密码,还可能在个人设备上使用。这一变化扩大了攻击面,显著提升了数据泄露的安全风险。

随着远程办公成为新常态,同期网络攻击也呈现激增且持续的态势。威胁行为者利用远程办公的转型契机,持续渗透网络边界。复杂的攻击正以巨大的代价破坏企业运营、供应链和医疗服务。

零信任理念——永不轻信任何人

如今,用户跨多设备在企业网络内外开展工作,防范恶意攻击者入侵网络边界的斗争如同一场猫鼠游戏。传统的“城堡与护城河”模式基于静态网络边界进行访问控制,但在当下的工作生活环境中,VPN、邮件安全、防火墙等分散工具的组合已完全过时。复杂的多云环境(如亚马逊AWS、微软Azure等平台)、混合环境以及云应用的快速普及,意味着基于边界的安全策略已不再具备防御能力。攻击者正利用这种基于边界的安全模式攻击组织——许多严重的安全事件之所以发生,正是因为网络犯罪分子突破了防火墙,利用可信凭证窃取权限或从内部提升权限,在设备间不受察觉地移动。

轻信网络边界内的所有对象已不再可靠,这也是领先组织纷纷转向零信任模型,以强化安全态势、抵御攻击和数据泄露严重影响的原因。零信任安全模型承认,传统边界内外均可能存在潜在威胁,核心假设是“永远没有绝对安全的环境”——攻击要么不可避免,要么已在发生。设备可能已遭入侵,所有访问请求在验证通过前均不可信。这是一种思维模式的转变,摒弃了默认信任的逻辑。组织在运营中不轻信网络边界内外的任何对象,而是将每个用户和设备都视为潜在威胁。

在零信任环境中,所有用户、设备和应用程序必须先通过验证,才能连接企业网络。在会话期间,系统会持续评估是否存在异常活动,直至用户退出网络,从而提供实时保护。评估过程会利用精细化的细节和策略执行机制,综合考虑访问上下文、地理位置、终端与应用状态、数据访问控制等因素,并通过自动化手段将访问权限限制在必要范围内。

特权访问的核心作用

零信任安全模型贯穿整个网络,整合多层安全工具与方法以最大限度降低风险。本文将重点探讨其中一层——特权访问管理(PAM)。

特权访问管理工具和政策是攻击者突破防线后,组织最后的防御手段之一。在零信任架构下,特权访问管理工具将组织内外的所有对象均视为潜在威胁,以降低系统遭入侵时攻击者获取关键数据的风险。即便不采用零信任模式,特权访问管理也是公认的网络安全基础要素,许多组织已将其纳入安全体系。

你的环境中可能存在数百甚至数千台服务器,还有许多超级用户管理员,其在资源上的操作目前可能无法被识别。特权访问管理软件绝非“一劳永逸”的解决方案。为适应远程办公需求,IT运营和设备配置已发生了长期变化。安全与风险管理负责人应将特权管理视为一个持续的过程,需识别、验证、保护并持续监控所有特权账户,包括域管理员账户、外部服务管理员账户、本地管理员账户以及其他用于软件安装和管理的账户。

制定精细化控制策略

访问审查与审计是零信任模型的核心组成部分,直接针对网络犯罪分子横向移动的企图,而特权访问管理软件正是这一过程的基础工具。

当前正是重新校准特权访问管理政策和技术的关键时期。应制定精细化的访问政策,不仅基于用户角色,还需结合地理位置、设备合规状态、设备健康状况和可访问数据等因素。例如,用户在办公室环境访问应用程序的风险,可能低于通过公共Wi-Fi访问的风险——上下文环境是关键。

明确特权级别

组织内存在多种账户类型,包括个人或共享特权账户、服务账户、本地管理员和根账户、应用间凭证以及不同级别的个人特权账户。这些账户均应根据特权政策进行设置和部署。明确标准用户、服务用户和超级用户等访问级别,有助于简化高特权层级的权限限制流程,减少暴露风险。

识别特权账户

为赶进度保障生产力,IT团队向用户授予了更多访问权限(例如,允许用户安装新程序以快速启动运营)。但这些提升的权限在用户不再需要后,往往仍保留数月之久。同时,被遗忘的“孤儿账户”、无人管理的特权账户和服务账户,如同易被利用的后门,给组织带来不必要的风险。未经记录的特权访问权限存在重大安全隐患,会扩大网络犯罪分子的攻击面。

特权访问管理工具应能发现这类特权账户。首先,扫描并识别所有特权账户及使用场景,明确谁拥有管理员账户访问权限、谁拥有高级特权,根据账户对关键资产和数据的风险与暴露程度进行分级。全面排查各类场景,例如:拥有某一资产特定任务特权访问权限的用户,是否可能无意中获得其他控制或应用程序的访问权限?

此外,还需明确特权账户的访问对象——记录资源所有者及权限授予负责人,并建立流程以发现所有提供特权访问权限的服务器或应用程序,对比以往与当前的账户、应用程序和数据库访问权限持有者。

如前所述,上下文环境至关重要,因此记录访问的地点和时间也同样关键。识别出拥有管理员或高级访问权限的用户后,需根据精细化政策判断这些额外权限是否仍有必要,并移除过度授权。由于人员、设备、系统和基础设施处于持续变化中,特权访问的全面发现与识别必须成为一项持续性工作。

遵循最小权限原则

零信任模型对用户、应用程序和设备执行最小权限原则:为用户、系统管理员和数据库管理员授予刚好满足工作需求的权限,仅在必要时授权高级特权。要实现这一原则,需根据权限申请者的身份授予特权访问权限,明确其申请权限的原因,确保授予的权限级别是完成岗位职责所需的最低水平,且权限有效期尽可能最短。

这一原则同样适用于非人类实体:审查所有使用凭证的对象,如机器人流程自动化工具、PowerShell脚本,或Chef、Puppet等DevOps工具中的硬编码凭证。利用特权访问管理解决方案通过API调用获取密码,根除硬编码密码的使用。

后台办公和核心职能外包的兴起,导致供应商获得更多关键系统(如医疗系统)的访问权限。组织需对第三方供应商和承包商的所有访问决策执行相同的最小权限原则,并将其访问活动的监控和日志记录纳入常规流程。当员工需要更高权限时,采用即时访问控制以降低暴露风险——最佳方式是建立即时访问申请与审批流程,让用户提交权限提升申请并设定有效期。规范的申请与审批流程既能保障生产力不受影响,又能确保零信任安全始终是访问决策的核心考量。利用特权访问管理工具管控特权账户的创建方式和原因,可防止未来出现权限泛滥的情况。

强化设备与应用程序安全

遵循零信任理念,需采取措施审查终端用户的笔记本电脑和工作站:移除本地管理员权限以强化设备安全——即使用户更改设备日期和时间这类简单操作,也可能影响审计工作的准确性。

进一步细化管控,例如更新设置,明确用户可从其设备终止的进程和应用程序;通过规范设置,避免用户无意中禁用安全防护软件;限制应用程序下载以降低恶意软件植入风险,仅允许可信应用程序运行,其余一概拦截。即使是可信应用程序,也应使用标准权限运行,以降低安全风险。应用程序停止使用后,应及时注销其权限——这不仅有助于保障系统安全,还能通过回收和重新利用许可节省成本。

分离凭证使用场景

如今,许多管理员为追求效率,未将管理员账户与终端用户工作账户分离,甚至在多台服务器上使用相同凭证。这一做法存在严重风险:威胁行为者专门针对具有管理员权限的账户,意图获取企业资源并执行恶意代码。超级用户绝不能在使用Windows管理员账户或Linux根账户权限登录时,执行查看邮件等终端用户任务。组织必须强制实施权限分离原则:为管理任务设立单独的受监控账户,将其与终端用户标准账户和审计账户严格区分。

精细化管理特权账户

在“永不轻信任何人”的原则下,即使是合法的特权账户也需进行严格管理。首先执行基础网络安全卫生检查,例如确保这些账户不使用默认密码。需谨记,攻击者会劫持特权账户从内部发起攻击,且不易被发现。

因此,特权账户连接网络时必须经过验证;会话期间,需利用特权访问管理工具持续监控账户活动,排查任何用户行为异常,以确认账户未遭入侵。一旦发现高风险活动,应自动终止会话,防范特权滥用。对拥有系统特权访问权限的第三方供应商和承包商,也应执行同等水平的管理和监督——密切监控其特权会话,必要时可进行会话影子跟随,一旦发现可疑行为或违反特权访问政策的情况,立即终止会话。

自动化与集成化管控

要在零信任模型中实现全面的可见性和控制力,需尽可能实现工具的自动化与集成化:

  • 优化特权访问申请流程,将特权访问管理工具与IT服务管理工具集成,通过服务管理工具创建工作流,处理即时权限提升申请,并利用自动化工作流高效撤销临时访问权限,避免“一劳永逸”导致的安全漏洞,防止黑客利用“孤儿账户”提升权限;
  • 新增自动化工作流,识别并移除这类账户,节省未来的发现时间;
  • 消除安全盲区——部分可信管理员可能绕过防护性特权访问管理工具访问账户并进行更改,需通过与安全信息和事件管理(SIEM)等其他工具共享数据、关联事件,为零信任策略提供支持。借助更多维度的洞察,更易检测特权访问管理环境内外的权限异常或操作异常。

随时准备审计

《萨班斯-奥克斯利法案》(SOX)、《健康保险流通与责任法案》(HIPAA)、《支付卡行业数据安全标准》(PCI DSS)等合规标准和行业法规要求组织跟踪并监控关键系统的访问情况,并向审计人员证明已部署必要的安全控制措施。利用特权访问管理工具可减轻审计负担:特权访问管理工具应记录、监控并审计所有特权访问和特权会话活动,同时记录访问审批相关数据。精细化报告和防篡改会话记录有助于加强特权访问的治理与问责制。

ManageEngine的PAM360如何助力零信任转型之旅

随着组织采用远程或混合办公环境,并转向零信任模型寻求保护,确保关键系统、数据及其他资产的特权访问均处于可控、可知、可监控状态至关重要。ManageEngine提供的解决方案可管理特权用户账户、关键IT资产的管理员访问权限,并满足合规要求。ManageEngine的PAM360是一款全面的特权访问管理解决方案,可轻松融入组织的零信任模型,通过管控敏感企业信息的访问权限,防范特权滥用行为。PAM360能够对整个IT基础设施(包括数据库、交换机、路由器、防火墙、负载均衡器)的访问权限进行统一管理,整合了强大的特权访问治理、工作流自动化和高级分析功能。

PAM360还支持与各类IT服务进行上下文集成,深化特权访问数据与整体网络数据的关联分析,从而对整个IT基础设施(用户、系统、应用程序)的管理员权限和访问进行更严格的控制与治理。

支持账户治理

零信任转型的第一步是了解自身安全环境。PAM360可自动发现整个IT基础设施(包括云应用)中的所有特权账户,能远程重置Windows本地管理员账户和Linux根账户的密码,还可将所有与特权账户相关的事件捕获为包含丰富上下文的审计日志和报告。精细化报告和会话记录简化了治理流程,为特权会话提供更深入的洞察。PAM360为审计和合规提供了集中管理点,避免在合规审计前夕仓促整合数据——借助PAM360针对PCI-DSS、NERC-CIP、ISO/IEC 27001、GDPR等各类合规法规的现成报告,组织可轻松向审计人员和法医调查人员证明合规性。

权限提升管控

PAM360是管控权限的强大工具,支持对域账户和本地账户的权限进行授权、分配和跟踪。该软件可在限定时间内提升权限,降低持续暴露的风险。针对即时访问申请,PAM360提供了“申请-审批”工作流机制,用户可提交权限申请;管理员通过iPhone、Android和Windows应用,可随时随地审批申请。若单台设备归多个团队所有,PAM360还支持双重审批功能。

标题

特权活动监控

在“永不轻信任何人”的理念下,特权权限授予后,密切监控特权用户的活动至关重要。PAM360支持实时影子跟随特权会话(例如,监控第三方承包商或供应商的操作),一旦检测到特权滥用,可立即终止会话。此外,PAM360还能将会话记录为视频文件并保存,以便后续跟踪和审计时回放查看。

会话管理

为防止未授权访问、保障系统安全,IT管理员必须禁用企业设备上的SSH访问权限和远程桌面服务。PAM360可作为网关,通过RDP、SSH、SQL、VNC或Web连接启动远程会话、建立远程连接并登录目标设备。利用PAM360的精细化控制功能,可限制用户活动,通过白名单机制管控用户可访问的应用程序。

标题

工作流自动化与集成

PAM360对零信任模型的支持全面且深入:通过与IT基础设施中的应用程序和设备进行上下文集成,可实现任务自动化并提升可见性。组织可借助PAM360消除自动化脚本中的硬编码凭证,该解决方案与DevOps工具集成,能实时获取凭证;通过RESTful API和SSH CLI API,替换PowerShell脚本、配置文件或其他任何位置的硬编码用户名和密码;与机器人流程自动化工具集成,可安全获取凭证并提供给机器人执行操作。

PAM360还支持与IT服务管理工具集成,使凭证申请和审批流程可在ITSM环境中完成。缺乏必要上下文时,安全事件中的盲区容易误导判断——PAM360将特权数据与终端事件日志相结合,实现上下文感知的事件关联;与SIEM工具集成后,可将PAM360中的所有原始审计数据转发至Splunk等SIEM解决方案,以获取更深入的洞察。这些集成确保了访问的全面可见性,提升了安全感知能力,助力组织做出更明智的决策。

SSH密钥与SSL证书管理

PAM360提供集中式存储库,方便管理SSH密钥的生命周期和政策执行,支持密钥发现、未使用密钥移除以及新密钥的生成与部署;同时,PAM360还能发现、整合和管理SSL证书,发送证书过期提醒,检查证书漏洞,并自动化证书生成工作流。

异常检测

发现恶意威胁的速度越快,限制损失的效率就越高。PAM360与ManageEngine Analytics Plus集成后,可对特权账户活动进行全面分析。借助人工智能和机器学习功能,持续检测可疑和恶意活动——基于PAM360的数据,为每项操作指定风险评估结果和风险评分;一旦风险评分突破阈值,立即发送通知,并触发会话终止等缓解控制措施。该解决方案能持续学习用户行为模式,精准检测异常活动。

警钟长鸣

远程办公、云平台和云应用重新定义了组织的安全边界。安全与风险管理负责人必须重新评估安全边界,并通过零信任模型强化防御。这一模型契合疫情期间及后疫情时代的工作环境,无论用户身处何地、使用何种设备,都能提供保护。零信任模式不再聚焦于网络边界防护,而是将安全措施部署在需要保护的应用程序、系统或资源附近。

要在零信任转型中占据有利地位并奠定坚实基础,组织需充分利用有效的工具能力,全面推行特权访问管理实践与流程:借助特权访问管理工具的审计功能建立基准并持续报告;实施更精细化的政策;建立权限申请与撤销工作流;验证系统的特权和管理员访问权限;持续记录和监控访问会话;以特权访问管理为零信任模型的基石,防范攻击。新冠疫情在诸多方面为我们敲响了警钟,网络安全领域更是如此。

常见问题(FAQs)

  1. PAM360 能否实现特权密码的自动轮换,且不影响业务系统运行?

    可以。PAM360支持对Windows、Linux、数据库、云平台等各类资产的特权账户密码进行自动化轮换,支持自定义轮换周期(按小时、按天、按月),且能通过无代理或轻量代理方式完成轮换,无需人工干预。轮换过程中会先验证新密码的可用性,确保业务系统连接不中断,同时会将新密码同步至相关依赖系统,避免因密码变更导致业务故障,还可记录完整的轮换日志用于审计合规。

  2. PAM360 如何处理跨地域、多团队的特权访问审批流程?

    PAM360提供灵活的多级审批工作流配置功能,支持按地域、团队、资产类型、权限级别设置不同的审批链。例如,跨地域团队申请特权访问时,可配置“本地团队管理员初审+总部安全管理员终审”的双重审批流程,同时支持移动端审批推送,管理员可随时随地处理审批请求,避免审批延误。此外,还能预设审批人替代方案,当主审批人离线时,自动转交给备用审批人,保障特权访问申请的高效处理,同时满足合规的审批留痕要求。

  3. PAM360 对硬编码在DevOps脚本中的凭证,有什么具体的解决方案? 

    PAM360提供专门的DevOps集成解决方案,首先会通过扫描工具自动发现脚本、配置文件中的硬编码凭证,然后提供RESTful API、SSH CLI API以及与Jenkins、GitLab、Ansible等主流DevOps工具的原生插件,让脚本在运行时通过API实时从PAM360中获取临时有效凭证,而非硬编码固定凭证。同时,PAM360会自动轮换后台存储的凭证,DevOps脚本无需做任何修改即可获取最新凭证,从根源上消除硬编码凭证带来的泄露风险,还能对凭证的使用过程进行全程审计。