首页
文章首页
数字化转型中特权访问管理的重要性

数字化转型中特权访问管理的重要性

Lin Hongge
2026-02-03
PAM360
10
10 分钟

“数字化转型”是一个无处不在且含义丰富的术语，如今常被用来描述或佐证几乎所有IT项目。但实际上，数字化转型与演进并非可选项或随意决定的事情——对于各类组织而言，它已是当下的必备之举：无论是试图与大型企业竞争的小型企业，还是努力避免被创新灵活的新兴企业淘汰的行业巨头，都离不开数字化转型。

数字化转型举措能帮助组织以更少的时间、更低的成本完成更多工作，并持续适应客户、员工及其他利益相关者不断变化的需求。然而，要确保转型成功，就必须从一开始将网络安全嵌入所有数字化举措中——而非事后才想起补充添加。这有时颇具挑战性：它要求拥有不同专业知识和背景的多个团队理解网络风险，并围绕共同愿景协作。

从何处着手

要理解数字化转型的收益与风险，以及其与网络安全的关联，至关重要的一点是让所有人达成共识，包括业务和IT领导者、网络安全团队、开发人员、云工程师及合作伙伴。数字技术与项目能为组织带来诸多机遇，比如显著提升运营卓越性、推出新产品、获得竞争优势，以及提高业务速度与灵活性。数字化转型的初衷是帮助我们在不同系统和平台间轻松共享数据，但在效率与生产力提升的同时，也可能带来更高的复杂性和更大的风险。数字化进程中的每一项新技术、每一个步骤，都可能通过扩大组织的攻击面、增加复杂性、将更多资产暴露在互联网中，从而提升网络风险。

组织必须确保其数字化转型举措从规划到实施，始终遵循“设计即安全”的原则。自2020年初疫情爆发以来，我们见证了数字化的爆发式增长。在此期间，多个行业的众多组织对网络安全和网络风险的理解也日益成熟：从“要么安全，要么不安全”的二元认知，转变为对网络风险的全面理解。我们的IT安全重心需要放在网络韧性上，而非单纯以消除威胁为目标的策略。

业务和IT领导者愈发清楚，在当今环境下，传统的孤立式或“堡垒式”网络安全方法已不再可行。现代网络没有明确的边界，其功能越来越依赖连接性。完全安全的互联系统并不存在，这也是限制访问权限等管控措施至关重要的原因。一旦发生网络安全漏洞，攻击者获得了某个系统的访问权限，若没有适当的控制措施保护组织相关的每个系统或数据存储库的访问安全，攻击者就能在整个组织网络中快速渗透。

特权访问管理

我们需要的是灵活、多层次的网络安全方法。其中一个核心要求是部署特权访问管理（PAM）解决方案，并将其与完善、可控的PAM实践相结合——这种实践涵盖人员、流程、政策、组织生态系统及技术。

PAM旨在管理那些能够访问机密、高价值或业务敏感信息，或有权进行管理员级更改的账户。它通过监控特权账户，防范因数据或管理员权限使用不当引发的内部和外部威胁，从而保护组织的信息、身份和系统。PAM解决方案以最小权限原则为核心，强调为用户提供完成工作或履行职责所需的最低访问权限。

PAM是实现更安全的数字化转型的基础。特权访问控制不仅包括用户的访问权限，还涵盖设备、应用程序及自动化流程的访问权限。明确每个身份（无论是人员还是其他类型）需要访问哪些系统或数据、将如何使用这些系统或数据，至关重要；同时，验证身份是否与声称的一致、跟踪身份或权限要求的任何变更、确保这些变更得到及时安全的管理，也同样重要。

在操作层面，这意味着基于组织制定的角色和权限（根据最小权限原则，为每个实体分配最短时间内所需的最低权限），每一次连接都需要经过认证，每一项活动都需要获得授权。这有助于实现对信息和资产访问的可追溯性，减少可见性和控制方面的漏洞。

需要注意的是，若不通过PAM对非人类特权账户进行主动监控和管理，这些账户很容易被忽视和遗忘。此类特权账户一旦遭到入侵，可能在很长一段时间内不被发现；若缺乏适当的控制措施，将造成严重后果。

为何PAM是优先事项

至少80%的安全漏洞与特权凭证泄露有关。从网络攻击者的角度来看，获取特权访问信息是所有攻击策略中价值最高（包括投资回报率最高）的一种。

身份访问管理（IAM）是用于管理组织内所有用户账户的相关实践，而PAM则专注于保护对高价值（意味着高风险）业务和技术系统账户的访问。PAM针对的是那些一旦泄露将造成毁灭性后果的账户访问安全。因此，组织在考虑优先部署哪些IT安全功能时，PAM应成为重中之重。

PAM能自动化特权账户的配置流程，在提高效率的同时确保一致性和合规性，减少持续的人工验证和干预需求。这对于数字化转型举措尤为重要——自动化带来的成本降低、风险减少和效率提升，能为转型提供有力支持。

思维模式的转变

在传统的孤立式或“堡垒式”网络安全理念下，人们曾认为可以将威胁行为者阻挡在防火墙之外，而防火墙内部默认是“安全的”。如今，我们更倾向于假设攻击者已经潜入内部——已侵入你的工作站，等待可乘之机——而非仅仅将其视为潜在威胁。我们甚至越来越多地听闻，威胁行为者试图招募企业内部人员协助其入侵网络，并承诺向内部人员支付数百万美元的报酬。

如今的网络风险管理，核心是限制攻击者的可见范围和可操作空间，而非假设能够将其完全阻挡在外。身份、访问权限，尤其是特权访问管理，已成为新的安全边界、新的防火墙。

随着组织越来越重视数字化转型和“设计即安全”原则，关于数字项目和产品的网络安全责任，人们的思维模式也在发生转变。这些责任正越来越多地由业务部门承担，背后有多重原因：组织最了解客户的需求和期望，包括提供最佳用户体验、尽可能快速频繁地交付产品、持续更新服务（通常是每日更新），以及保持竞争力。

这种思维转变意味着，网络安全专家直接与业务部门合作的需求和优势日益凸显。越来越多的组织正努力让领导层更深入地了解网络安全，将其视为业务运营中的战略驱动力，而非仅仅是一个独立的部门或职能。

如今的客户对数字体验质量有着很高的期望，同时也理所当然地希望组织在收集、存储、管理和共享其身份信息时遵循良好实践。网络攻击者对客户数据的窃取，可能会严重损害组织的声誉，导致组织面临处罚和罚款，在某些情况下甚至会迫使组织永久关闭。

开发运营（DevOps）

全球范围内向DevOps和云服务转型的趋势，对于希望从数字化效率和新市场机遇中受益的组织来说是个好消息，但这些趋势也在快速且呈指数级地扩大网络攻击面。其直接后果是，人类和非人类身份的特权数量激增。

如今，大多数组织依赖软件工程推动创新、创造机遇。尽管DevOps团队为组织带来了巨大优势，但针对开发人员和云工程团队的网络攻击也显著增加。

DevOps团队还经常面临快速交付的压力。转型的快节奏，加上维护基础设施、系统、应用程序和代码安全访问的迫切需求，可能导致组织在某些方面偷工减料，从而增加风险。

仅仅告诉开发人员遵守那些他们认为会拖慢工作进度的政策，效果可能并不理想。为解决这一问题，威瑞森开发了一个集中化的实时开发人员仪表板，用于展示威瑞森业务内部的应用程序中漏洞是如何产生的。这一解决方案帮助说服开发人员接受DevSecOps方法，并在组织内部培育安全文化。

另一个有效的解决方案可能是让网络安全团队成为DevOps的合作伙伴。这意味着网络安全团队需要学会用DevOps团队的语言沟通，理想情况下还应了解DevOps团队使用的工具及其工作原理，以便共同制定切实可行、相互支持的策略。例如，利用PAM解决方案，让开发人员在需要时能够安全地获取凭证，并在后端对这些凭证进行更新和维护，且不会对其代码产生不利影响——这是一种双赢方案，同时还能避免凭证硬编码的问题。

其他需要解决的问题包括：保护DevOps工具安全、管理软件供应链，以及教会DevOps团队从黑客的角度思考问题，让他们明白自己是攻击的主要目标。DevOps团队和网络安全团队可以携手合作，确保最小权限、多因素认证（MFA）和加密等良好实践，成为软件开发生命周期的核心部分。

云环境带来的挑战

由于云环境中的工作负载具有动态特性（自动扩展、通过自动化编排快速创建和销毁资源、频繁变更），管理云中的特权访问可能颇具挑战性。其速度、复杂性以及缺乏端到端可见性，可能为攻击者利用漏洞创造诸多机会。

根据迈克菲（McAfee）最近的一份报告，在分析了各类云部署中的数十亿个事件后发现，存储在云存储平台中的数据比存储在组织服务器集群中的数据更容易遭受网络攻击。这通常是由于客户的配置错误或意外、无管控的共享导致的，而非云服务提供商（CSP）的过错。不出所料，在2020年的前四个月，迈克菲发现针对云账户的攻击激增，总体估计增长了630%。组织需要真正理解其云服务的工作原理，并尽己所能保护相关信息安全。

利用PAM减少组织在云中的攻击面，可采取的措施包括：锁定云控制台、为用户提供即时访问权限而非完整访问权限，以及快速响应服务器上的任何可疑活动警报。

使用云应用程序和其他服务时，另一个重要选择是会话隔离和管理，而非直接暴露凭证。这意味着通过一次点击即可实现访问，即使你的终端设备遭到入侵，攻击者也无法获取该凭证。

成功的步骤

组织在着手优化和强化PAM时，首要任务是对当前的特权进行全面盘点。如果组织已制定业务连续性计划，并根据业务关键性对系统和其他信息进行了优先级排序，那么应利用该计划确定PAM需要管理的最高优先级账户。

特权盘点需涵盖遗留系统、影子IT和组织生态系统，不应局限于本地环境或内部员工。还应扫描现有存储库，查看是否存在需要处理的硬编码凭证。通过盘点，组织能明确现有特权情况，进而锁定、存储和管理凭证的领用与归还。仅作废过期或废弃的凭证，就能为组织带来巨大优势，并显著缩小攻击面。

与此同时，在数字时代，组织当下拥有的资源可能在未来发生巨大变化；持续适应的能力是网络韧性和组织韧性的核心要素。展望未来，网络安全团队应优先争取参与评估组织未来需求的机会，从网络安全角度提供专业意见。

结论

数字化转型增加了特权访问被滥用的风险，但同时也为改进、整合和自动化PAM创造了机遇。

要将网络风险维持在可接受的水平，组织需要明确哪些身份、哪些系统和哪些数据是优先级——这取决于它们对组织的价值，以及一旦泄露对组织造成的影响。这些都是基于组织整体风险状况做出的业务决策，因此网络安全团队、IT部门、开发人员及其他相关方不应孤立地决定这些因素。组织及其合作伙伴需要携手合作，才能取得成功。

常见问题（FAQs）

PAM360 支持对云环境中的特权账户进行全生命周期管理吗？
支持。PAM360 可无缝对接AWS、Azure、阿里云等主流云平台，实现对云服务器、云数据库、容器等资源特权账户的全生命周期管理，包括账户创建、权限分配、密码自动轮换、会话监控与审计等功能，同时支持云环境下临时特权的按需申请与自动回收，满足云环境动态化的特权管理需求。
PAM360 如何解决 DevOps 场景下的凭证硬编码问题？
PAM360 提供专门的 DevOps 集成模块，支持与Jenkins、GitLab等主流工具联动，开发人员可通过API或插件在部署过程中自动获取临时凭证，无需将凭证硬编码到代码或配置文件中；同时系统会自动轮换这些凭证，并对所有凭证的使用过程进行审计，从根源上消除凭证硬编码带来的安全风险。
PAM360 具备对非人类特权账户的监控能力吗？
具备。PAM360 可自动发现并分类服务器、应用、脚本等非人类特权账户，对其进行集中存储与管理；同时支持实时监控这类账户的会话行为，一旦发现异常操作（如非授权时段登录、访问敏感资源），会立即触发告警并可自动阻断操作，有效防范非人类特权账户被滥用的风险。