特权账号管理的关键特性与市场竞争分析本文作者:安全内参社区研究员CC 传统的身份和访问管理(IAM, Identity and access management)技术主要为 标准用户(企业员工、临时工、访客等)提供访问控制,但未提供针对某些特权账号的共享使用或不受控制的提权的解决方案。而往往这些特权账号(如运维人员账号、超级管理员)拥有较大权限,如果在企业中广泛、不受限制、不受监控的使用这些账号会带来极大的损害,近年来机密信息泄露、业务中断等事件比比皆是。 企业需要特权账号管理来确保最小特权等基本准则的遵从性,确保责任可追溯到个人。相对于身份与访问管理领域,特权账号管理是相对独立的一部分内容。由于面向的资产相对不同,功能设计也具有差异性。
特权账号都有哪些?
按照国际咨询机构Gartner提供的分类,特权账号主要分为两大类:人员特权
账号、软件特权账号。
1、人员特权账号
•个人特权账号:非通用的个人用户账号,通常分配给管理角或具有提权能力,可访问所有普通用户和进行特权操作。
皮衣加工
•系统定义的共享特权账号:内置在系统或应用中的账号,用来进行系统的管理操作,如Unix/Linux系统上的根帐户或Windows系统上的管理员帐户。
遥感图像•企业定义的共享特权账号:企业为软件安装、管理和配置目的而设置的账号。通常这类账号会由多个管理员共享,也包括紧急账号,用于紧急情况下临时获取特权访问进行操作。
2、软件特权账号
与其他系统、应用、数据库或服务进行远程交互(软件到软件)的服务、应用或软件的账号。
特权账号管理产品的关键特性
41478网络电视Gartner将可用的PAM技术分为两种不同的方法,并逐渐成为领导者考虑PAM 工具的主要关注点:
服装展示模特•特权账号和会话管理(PASM):特权账号通过安全存储凭据来保护。
通过代理方式为用户、服务和应用提供账号的访问。通过可凭据注入和
完整会话记录建立会话。特权账号的密码和其他凭据可主动管理(定期
更改或发生特定事件时更改)。
•权限提升和委托管理(PEDM):基于主机的代理在托管系统上向登录用户授予特定权限,包括基于主机的命令控制(筛选)和权限提升。
从各类总结中可以看出,PAM产品所强调的核心能力包括:密码管理、特权账号生命周期管理、监控分析等。PAM的功能特性集合包括:共享账户密码管理、应用到应用密码管理、特权账号发现和生命周期管理、特权SSO、特权提
升管理、特权用户行为分析、会话监控分析和记录、端点特权管理、报告审计和合规。
特权账号管理的国内外市场
在国内,在以往的安全产品分类中未明确提出PAM的细分领域,特权账号管理
领域的产品形态主要是堡垒机,通常用于运维人员管理企业网络、数据中心等网络中的网络设备资源、主机资源、数据库资源、应用服务器等。
堡垒机作为访问这类资产的主要入口,通常要求具备双因子认证能力,具有简单的用户、用户组、组织机构管理功能,具备账号风险检查能力。对于并不复杂的运维场景,通常进行组的划分、添加用户标签信息可以覆盖大部分应用场
景,堡垒机更多的是兼容多种标准协议,能够和代理服务器链接,使用各类适配工具完成运维操作并能记录。但随着业务复杂度的逐渐演进,国内各类PAM 厂商及部分IAM厂商开始提供专门的特权账号管理功能。
国际上看,有为数不少的PAM厂商在提供针对特权账号的方案,头部厂商包括CyberArk、Broadcom(CA technology)、Centrify 、BeyondTrust、ARCON 等。通过调研了解到,Gartner对于PAM的定义为“提供对关键资产的安全、特权访问,并通过保护、管理和监视特权账号和访问来满足法规遵从性要求”。对于PAM市场的定义为提供以下三个功能中一个或多个功能工具的市场:
1)发现、管理多个系统和应用系统的特权账号(具有超级用户/管理员权限的账号);
2)控制对特权帐户的访问,包括共享和紧急访问;
3)随机、管理和保管管理、服务和应用账户的凭证(密码、密钥等)。
根据Gartner 2020年8月发布的特权访问管理魔力象限报告,PAM领域的主要玩家包括12家,其中:
•领先者包括4家,CyberArk、Thycotic、BeyondTrust、Centrify;
•挑战者包括3家,Hitachi Systems、senhasegura、ARCON。
头部特权账号管理厂商的产品特
欧洲咨询机构KuppingerCole对PAM厂商也进行了深入分析,包括BeyondTrust、CA Technologies、Centrify和CyberArk。
日志存储
融合蛋白分离纯化1、BeyondTrust
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议