Article for 四月 24, 2019

邁向成功實施PAM的有效步驟

處理特權訪問管理(PAM)的最佳方法不是簡單地檢查一個框以滿足任務,而是將其視為任務。基於任務的方法可確保您隨著時間的推移提高整個企業的安全性,而不僅僅是滿足有限的一次性授權。

您可能想知道從哪裡開始以及如何構建您的PAM任務。從頭開始,評估您當前的狀態:如果您不知道從哪裡開始,則無法改進PAM實施。這需要了解您當前的業務流程和優先級,管理員當前如何訪問您的特權帳戶,以及哪些PAM缺陷構成最大風險。

特權帳戶生命週期特別注意本地管理帳戶,這些帳戶結合了高級別的特權,很少或根本沒有監督。它們會使您面臨重大風險,因此是您的PAM計劃的首要任務。

了解當前的PAM流程和工具將受益於與系統管理員建立牢固的關係。您還需要涉及利益相關者,包括執行管理,PAM項目經理,信息安全,身份和訪問管理,以及集成合作夥伴,應用程序和平台所有者。

現有的分類工具(如配置管理數據庫(CMDB))以及掃描工具提供了良好的開端,但可能會導致不完整或不准確的結果。正式的,親身實踐的發現和評估工作將產生最準確的信息; 在經驗豐富的集成合作夥伴的支持下完成的發現工作可以為發現您的風險賬戶和產帶來最佳實踐,並鼓勵所需的內部合作。

下一步是確定您的優先級,因為確定風險的優先級將有助於您定制PAM部署,從而在企業級別最快地為您提供最高價值的回報。許多組織跳過優先考慮風險並直接實施; 因此,他們花費了太多時間專注於那些不會降低最大風險並為組織帶來最大價值的領域或能力。
例如,組織可能花費數月時間部署代理,以阻止特定係統的一組管理員查看管理訪問密碼,並允許安全運營中心或PAM團隊監控其會話,但組織可以更快地消除更多風險在企業級別通過跨多個團隊和平台實施密碼輪換和手動密碼簽出。

接下來,考慮在分佈式架構中設計PAM基礎架構,以便所需的計算,存儲和網路資源最接近受管理的帳戶和系統。許多組織更喜歡在現場託管這些資產以獲得更高的安全性,但如果提供商提供有保證的隔離,則可以選擇在雲中託管這些資產。

PAM要領隨著PAM成為關鍵的企業應用程序,請使用負載平衡服務器確保高可用性。創建符合組織安全要求的PAM災難恢復計劃,例如,許多組織希望將備份保留在現場,以便最大程度地控制誰可以訪問有關備份的詳細信息。

此外,抵制讓各個業務部門或區域部署不同版本的PAM工具的衝動。不一致的實現使得更難以實施通用安全實踐,在整個組織中添加新功能,或遷移到容器等新架構。

這也意味著移動到不同業務單位或區域的用戶可能需要學習新界面,這會增加培訓和幫助台成本以及出錯的可能性。瞭解VPN對PAM所帶來的幫助

接下來,密切關注您如何強化基礎架構。如果組織在現場使用PAM,則需要嚴格控制允許通過哪些端口流量。組織可能會在非軍事區(DMZ)中放置一些組件,因此請仔細考慮將哪些PAM組件放入DMZ以及如何控制帳戶以確保可用性和遵守安全策略。

更多文章:什麼是VPN及其如何使您受益?

DMZ中的PAM配置除其他外,還取決於適當的防火牆規則,許可要求以及每個網路上駐留的受保護資產。例如,組織可能只在DMZ中託管其一小部分帳戶,而不是其完整的保管庫。

在您登上第一個應用程序或帳戶之前,請採取基本有效的步驟來保護包含管理密碼的保管庫。這一點至關重要,因為如果保管庫受到威脅,管理員就不會信任它,也不會信任其他PAM實施。保護保險庫需要一些或多個考慮因素,包括:

  • 為用戶的特權訪問和非特權訪問(他們訪問執行日常業務功能)創建單獨的帳戶。
  • 通過引入多因素,基於風險或自適應的身份驗證,在身份驗證和訪問授權過程中引入一定程度的摩擦。單點登錄雖然方便,但不足以證明身份,並且可能通過網路釣魚等社會工程方法容易受到攻擊或欺騙。
  • 如果不是每次登錄都會輪換憑證(也稱為一次性通行證)。這將確保受損的憑據對任何攻擊者都沒有或有限使用。
  • 確保任何特權帳戶活動的一致審計跟踪,並清楚地了解誰在任何給定時間執行什麼活動。使用共享帳戶或憑據時,這一點尤為重要。
  • 與平台所有者和管理員一起減少管理帳戶的總數,例如目錄域和數據庫。它越少,需要保護的越少,攻擊面越小。