身份与访问
特权访问管理(PAM)
别称: PAM, 特权身份管理
定义
一套用于保护、控制、监控和审计具有管理员或更高权限账户与系统访问的实践与工具。
特权访问管理保护组织的 "皇冠宝石":域管理员、root 账户、云根用户、数据库超级用户、网络设备凭据以及服务账户。PAM 平台通常包含凭据保险库(密码、SSH 密钥、API 令牌)、通过堡垒机进行的会话代理、即时提权、含按键记录的会话录制以及详尽审计。与 MFA、RBAC 和 SIEM/SOAR 的紧密集成可实现异常检测与策略落地。PAM 是零信任路线图、PCI DSS、ISO 27001 及网络保险承保中的基础控制,能显著降低凭据失窃和内部滥用带来的影响范围。
示例
- CyberArk Privileged Access Manager 在每次会话后轮换 Windows 本地管理员密码。
- BeyondTrust 为生产环境 Linux 服务器的 root 账户提供带录制的 SSH 堡垒机。
相关术语
最小权限原则
一种安全原则,要求向每个用户、进程或服务仅授予其完成职责所必需的最少权限,绝不多余。
即时访问(JIT)
一种仅在限定时间和特定任务范围内授予敏感或高权限,并在到期后自动撤销的访问模型。
Credential Vault
Credential Vault — definition coming soon.
服务账户
由应用程序、脚本或服务使用的非人类身份,通常用于在没有交互登录的情况下向其他系统进行认证。
身份与访问管理 (IAM)
用于定义数字身份并控制每个身份在何种条件下可访问哪些资源的一套学科与技术体系。
Session Management
Session Management — definition coming soon.