特权身份管理(PIM)是 特权访问管理 (PAM)过程的一部分。PIM 涉及一组安全控制,用于监视、控制和审核对特权企业标识(包括服务帐户、数据库帐户、密码、SSH 密钥、数字签名等)的访问。通过实施强大的 PIM 策略,企业可以减轻特权滥用带来的安全风险。
PIM 解决方案专门设计用于帮助 IT 团队实施精细控制,并对其特权身份提供严格的治理,从而有助于防止内部威胁和滥用用户特权。
在更广泛的方案中,PIM 和 PAM 都是身份和访问管理 (IAM) 的子集,它处理监视、保护和管理企业身份。但是,在保护和管理特权身份方面,PAM 和 PIM 起着至关重要的作用。为了更好地理解区别,让我们定义以下每个概念:
IAM—是一个安全框架,由特殊策略、控制和解决方案组成,可促进数字企业身份的管理。IT 经理利用 IAM 策略来控制对组织内数据库、资产、网络、应用程序和资源的访问。
PAM—是 IAM 的一类,负责构建访问控制框架,以保护、管理、监控和控制整个企业的特权访问路径和活动。
PIM—是 PAM 的一个子类,包括用于管理和保护特权标识(如服务帐户、用户名、密码、SSH 密钥、数字证书等)的基本安全控制和策略,这些标识提供对敏感信息的访问。
从这个角度来看,IAM涵盖了整个企业垂直领域的更广泛的访问模式,包括所有用户,系统,资源和资产。另一方面,PIM 和 PAM 涵盖了围绕特权资源和系统的访问模式。
如今,企业 IT 部门面临着提供对公司资源的精细访问的挑战。缺乏有关数据用户和请求者的上下文信息,这是授予数据权限之前要考虑的重要因素。
特权标识在任何 IT 环境中都无处不在。IT 管理员、特权用户、第三方承包商、供应商、工程团队 - 每个人都需要访问特权帐户和凭据才能执行业务敏感操作。但是,如果这些标识未使用适当的访问控制策略进行保护,则权限越高,安全风险就越大。对特权身份的宽松管理可能为攻击提供理想的机会,以侵入组织的安全边界并在业务敏感信息中导航而不会留下任何痕迹。此外,如果 IT 团队没有跟踪其员工使用其权限执行的操作或特权帐户的使用方式,则任何恶意内部人员都可以利用其权限并破坏业务数据以获取个人利益。
任何企业的成功都取决于其处理的数据的隐私和准确性。因此,管理和控制对数据和企业资产的访问对于任何组织来说都是至关重要的。同样,为了避免因数据泄露而受到任何处罚或诉讼,组织必须确保在验证对其数据的访问时简化工作流程。
话虽如此,特权身份管理 (PIM) 解决方案旨在集中、控制、跟踪和保护对特权帐户和身份的访问。这将使 IT 团队能够完全控制和查看其特权资产、资源和身份。PIM 工具还可以提供可操作的见解,以保持符合法规标准。
通过将特权帐户和身份存储在受多重身份验证保护的加密数字保管库中,控制这些帐户和身份。
将威胁向量减少到零,并帮助有效应对外部攻击、身份盗用和内部威胁等不断增长的风险。
通过实时用户活动审核和综合报告,实施安全控制以检测和防止可疑用户活动和特权帐户滥用。
清除与长期权限相关的风险,例如识别和删除孤立或非活动帐户。启用基于角色的访问控制和审批工作流,以实现凭据的精细共享。
符合行业和政府标准和法规,如 HIPAA、PCI DSS、GDPR、NERC-CIP、SOX 等。
在安全、强化的在线存储库中发现并存储特权身份列表,例如密码、SSH 密钥、数字证书。每当添加/创建新标识时自动更新列表。
实施严格的策略,例如定期密码重置、基于时间和角色访问特权资源、一次性使用时自动重置凭据以及其他安全控制。
通过向非管理员用户和第三方授予特权访问权限来实施最低特权控制,这些用户和第三方具有执行其活动的最小权限和几乎足够的权限。
实时监控和审核 特权访问 活动和远程会话,以识别恶意用户,并做出明智的安全决策。
鉴于特权身份管理是特权访问管理 (PAM)的一部分, 组织应考虑实施强大的 PAM 解决方案,该解决方案封装了 PIM 的固有用例,同时包括其他核心 PAM 控件,例如特权会话管理、安全远程访问、特权用户行为分析(PUBA)、机器身份管理、应用程序凭据安全性、实时特权提升等等。
ManageEngine PAM360 是面向企业的统一特权访问管理解决方案。它使 IT 管理员和特权用户能够精细、完全地控制关键 IT 资源,例如密码、数字签名和证书、许可证密钥、文档、图像、服务帐户等。
PAM360 包括与 SIEM、票证和分析解决方案的上下文集成,可帮助 IT 团队构建用户行为模型,以识别和终止异常活动,生成全面的审计和合规性报告,并做出数据驱动的安全决策。
使用 PAM360 加强对企业身份的访问,并改善特权访问安全状况。