Gartner发布中国PAM特权访问管理创新洞察：PAM的8个主要目标和国内9个主要提供商

特权账户是攻击者的主要目标，对每个组织来说都是重大的安全风险。安全和风险管理领导者可以利用这项研究来了解技术前景并降低特权访问风险。

主要发现

合规在推动中国采用特权访问管理 (PAM) 工具方面发挥着重要作用。然而，这些工具的实施经常遭到IT管理员的强烈反对，因为这些工具改变了他们传统的工作方式。
在中国市场， PAM经常与堡垒机（SMBH）相混淆，后者传统上定位为对IT系统和基础设施执行维护任务的安全访问路径，并且往往部分满足特权访问管理目标。
本地供应商对本地监管合规要求（例如密码法）的支持更好，并且与本地品牌技术堆栈（例如操作系统、数据库）的集成也经过了充分验证。然而，他们可能无法提供像全球 PAM 供应商那样更高级的功能。

建议

通过与相关利益相关者（例如基础设施和运营 (I&O)、安全、合规和业务领导者）合作，了解他们的需求和优先事项，并解决他们的顾虑，构建一个可防御的 PAM计划，不要直接开始调查 PAM 工具。
明确堡垒机的能力差距，以满足合规性、保护和业务支持方面的所有核心 PAM 技术目标。
在您的环境中定义 PAM 技术要求，并权衡这些要求与本地和全球解决方案，以确定最佳方案。如果您有强烈的合规性和地缘政治顾虑，请优先考虑本地供应商，如果他们能够满足您的所有核心要求。

介绍

特权访问是超出授予业务用户的正常级别的访问。它允许用户覆盖现有的访问控制（例如以超级用户的身份读取原始设备可以绕过文件系统访问控制）、更改安全配置或进行影响多个用户或系统的更改。特权访问可以创建、修改和删除 IT 基础架构以及该基础架构中包含的公司数据。它会带来灾难性的风险。因此，管理特权访问是每个组织的关键安全功能。PAM 工具专注于特权帐户或特权命令。

管理特权访问的三个主要原因是：

通过满足法规和安全框架的要求来遵守它们。
通过确保减轻特权访问滥用和误用的威胁来保护组织。大多数引人注目的违规行为都是由于过度的特权和特权访问管理失败而造成的。
通过简化分配并将所需的最低特权访问权限委托给组织内的个人（包括非全职系统管理员），使业务运行得更快。

PAM 有八个主要目标。参见图 1 了解它们如何与上述原因保持一致。

图 1：PAM 目标

PAM 工具专注于特权帐户或特权命令

从广义上讲，所有特权账户可以分为两类：人员、软件和机器（见图 2）。

图 2：特权账户的分类

PAM 工具可帮助组织发现人员和机器使用的特权帐户。PAM 工具通过轮换和保管其凭据（例如密码、密钥）并以受控方式代理对这些帐户的委托访问来保护这些帐户。对于人员使用的交互式帐户，PAM 工具有助于通过会话控制机制提供多因素身份验证 (MFA) 和显式信任远程访问，以便在不泄露凭据的情况下使用特权帐户。对于机器使用的非交互式帐户，PAM 工具可确保特权凭据的处理，使其不会在静止时暴露。

PAM 工具还通过仅允许执行特定操作来提供命令控制，并且可以选择性地暂时提升用户权限以允许在特权上下文中执行命令。

PAM 工具通过跟踪和记录特权访问以供审计，提供特权帐户和命令使用情况的可见性。这包括详细的会话记录，以帮助组织不仅了解谁在何时使用了哪个特权帐户，还了解他们在做什么。

PAM 工具提供的控制可以实现即时权限管理，以强制执行最小权限原则：用户必须在正确的时间、出于正确的原因对正确的资源拥有正确的访问级别。

此上下文中的权限是技术性的，与业务流程相关的高风险权限不同。

传统身份和访问管理 (IAM) 技术（例如身份治理和管理 (IGA) 和访问管理 (AM)）可控制标准用户的访问权限。但是，它们没有提供足够的 PAM 功能来管理特权帐户的共享使用、受控的特权提升、服务帐户和云基础设施权限。

描述

定义

Gartner 将特权访问管理 (PAM) 定义为通过管理和保护用于管理或配置系统和应用程序的帐户、凭证和命令来提供更高级别的技术访问的工具。PAM 工具（以软件、SaaS 或硬件设备的形式提供）可管理人员（系统管理员和其他人）和机器（系统或应用程序）的特权访问。

Gartner 已确定了五类 PAM 工具（见图 3）。请参阅IAM 领导者特权访问管理指南，了解每个类别的详细描述。与每个类别的不同工具不同，本地 PAM产品通常是一个旨在提供跨不同类别的多种功能的平台。

图 3：中国背景下的 PAM 工具类别

国内的PAM工具主要从堡垒机演化而来。传统堡垒机定位为技术维护的安全通道，突出支持多种IT维护工具、基于协议的过滤、维护任务自动化以提高效率等功能。具有成熟的特权会话管理功能，如密码保管和轮换、会话监控和记录、日志记录和报告功能。但往往缺乏成熟的账户和授权管理功能，也不支持机器身份用例。

然而，Gartner 最近发现，越来越多的堡垒机供应商正在改进和扩展其产品，以涵盖基本会话管理之外的更多 PAM 功能，方法是向其现有堡垒机产品添加功能或提供独立的 PAM 产品。扩展的功能包括：

特权帐户发现。
特权访问请求/批准管理。
多因素身份验证 (MFA) 和特权访问的细粒度授权。
内置 VPN 模块或与零信任网络访问 (ZTNA) 解决方案集成，实现远程特权访问管理(RPAM) 。
管理应用程序用于访问数据库的凭据，这些凭据以前以硬编码或明文凭据的形式不安全地存储在应用程序配置文件中。

随着本地产品不断发展以支持更多的 PAM 功能，仍然存在两个主要差距。

一个差距是缺乏基于主机的特权提升和委托管理 (PEDM) ，它支持在实际操作系统（在内核或进程级别）上执行特权控制。中国现有的 PEDM 产品主要在网关上执行特权控制。这通常依赖于基于协议的过滤，这是一种不完善的命令限制控制，因为基于协议的过滤可以通过命令行混淆命令轻松绕过。

另一个差距是中国的机密管理产品对 DevOps 自动化的支持不足。机密管理工具以编程方式为工作负载（例如容器、应用程序、服务、脚本、流程和 DevOps 管道）发布、存储、检索、轮换和管理机密（例如密钥、密码、OAuth 客户端凭据和证书）。但是，中国本地产品虽然很好地支持应用程序访问数据库，但不足以支持 DevOps 的自动化。

为了弥补目前存在的差距，如果中国企业无法获得全球供应商的解决方案，可以使用一些免费的开源工具。这些工具包括：

提供机密管理功能的OpenBao。
Sudo是一种流行的工具，它为 UNIX 和 Linux 系统提供 PEDM。

除了常见的能力外，当地法规和独特的数字生态系统对PAM还有独特的本地要求，包括：

需要与本地品牌的IT 技术堆栈（例如操作系统、数据库和服务器）进行经过充分验证的集成。
支持SM3密码散列算法、SM4分组密码算法等国产密码算法的要求，符合我国密码法及相关规定。
数据安全要求。由于监管要求和数据货币化战略，中国的终端用户组织非常重视数据安全。精细数据访问控制和数据脱敏等功能被视为增值差异化因素。

在中国，大多数 PAM 部署都是在本地进行的。由于关键任务系统在本地占用大量空间，代理和网关部署在客户的数据中心或私有云中，尤其是对于受监管要求驱动的国有企业和关键行业。同时，尽管可用的软件产品数量不断增加，但硬件设备在市场交付中仍然发挥着重要作用。

好处和用途

PAM 已发展成为IT 环境的核心网络防御能力。它能带来的主要好处包括：

增强网络防御：泄露的特权凭证可能是攻击者在被攻破的网络中寻找有价值资产或对终端设备发起勒索软件攻击的主要攻击媒介或关键推动因素。
监管合规性：监管机构和审计人员通常将注意力集中在组织为减轻特权访问风险而实施的 PAM 控制上，例如等保2.0 的要求。未能解决这些问题可能会导致处罚和需要补救的严重问题。
业务支持：PAM 工具能够以安全、结构化和有序的方式实现变更管理。

PAM 解决方案可自动执行特权访问控制，并提供有关特权在目标覆盖区域中的使用方式的详细可见性，有四个主要用例：

管理（人机访问）：这些用例包括对服务器和基础设施组件的管理访问、对终端设备的本地管理访问以及外部用户的远程访问。特权帐户和会话管理( PASM )、PEDM 和 RPAM 工具提供了解决管理用例的解决方案。
机密管理（机器对机器访问）：这些用例使脚本、DevOps 管道或应用程序可以共享凭据，以连接到数据库、应用程序和服务。通常使用PASM 工具或机密管理工具。机密管理工具提供解决方案来解决自动化用例并避免在代码中嵌入凭据。
服务帐户自动化（机器对机器访问）：这些用例包括管理（轮换）软件机器人使用的服务帐户或应用程序帐户的凭据。
云（基础设施授权）：这些用例包括发现和缓解云基础设施中的过度访问和权限配置错误。云基础设施授权管理 (CIEM) 工具提供了解决 IaaS 用例的解决方案，而 PaaS 和 SaaS 用例可能需要更高级的机密管理功能和 PASM 工具（例如，使用浏览器插件来处理 SaaS 应用程序）。

风险

以下情况使用 PAM 工具存在风险：

从时间和文化角度来看，PAM 实施可能很复杂且成本高昂。它们经常会遭到IT 管理员的强烈抵制，因为它们改变了 IT 管理员的传统工作方式。
PAM 工具通常比传统堡垒机工具更昂贵。已经使用传统堡垒机的组织很难获得额外的预算来添加 PAM 工具，这些堡垒机具有基本的会话管理功能，可以满足最低监管要求。
本地 PAM 供应商可以帮助您更好地遵守本地监管要求，并与本地品牌技术堆栈进行良好的集成。然而，他们可能缺少您需要的一些功能，例如基于主机的 PEDM。

建议

负责 IAM 的安全和风险管理领导者应该：