注册

特权账号管理PAM和身份识别与访问管理IAM的区别

其他分类其他2022-05-23
906

• 账号vs人:浅谈PAM与IAM的管理对象差异     P9
• 堡垒机与IAM集成 实现统一身份认证              P14

群 | 策 | 群 | 力     相 | 融 | 共 | 生

5.20

2022

特权账号管理PAM
和身份识别与访问管理IAM的区别

目录 | contents

第05期 | 02

目录 | contents

CONTENTS
目录

05
特权账号管理PAM
和身份识别与访问管理IAM的区别
PAM与IAM是两套不同的产品,用不同的思路
解决不同的问题。
-使用目的不同
-软件类别不同

-管理对象不同
-管理方式不同
-功能不同
-收益不同
09 
账号vs人:浅谈PAM与IAM的管理对象差异
PAM管账号,IAM管人,各司其职。同样是身份
管理,两者截然不同。
14
堡垒机与IAM集成 实现统一身份认证
堡垒机与IAM互为补充,无缝对接,解决统一
身份认证问题。

PAM与IAM的区别

第05期 | 04

PAM与IAM的区别

账号,是进入虚拟世界的钥匙,每把钥匙开启的是一个个服务器、存储、网络、数据库等IT资产中的房间,而权限,则定义了不同的房间中分别能做的事情是什么。因此,虚拟世界中的权限和账号强绑定,不同的资产根据其特性有着不同的权限体系,一旦掌控一个账号,就会获得它对应的虚拟世界权限。特权账号管理PAM,最重要的作用是加固了虚拟世界所有房间中的钥匙和门,从而保障虚拟世界的权限安全。
身份,是真实世界的人进入虚拟世界之后的唯一标识。身份识别与访问管理IAM,在真实世界的人进入虚拟世界时对其进行身份确认和鉴别,并发放通行证,从而将真实的人和虚拟通行证直接进行身份绑定。
同样是身份管理,两者截然不同。

PAM:是数据中心内部的运维管理软件,通过对数据中心内部资产进行账号管理,保证数据中心的安全运维。

PAM(特权账号管理)和IAM(身份识别与访问管理)虽然都是企业数据中心管理中身份识别与认证的范畴,但无论是使用目的、管理对象,还是功能、收益等,都截然不同,是不同的安全主题。本文从多维度进行对比分析,将两者的不同之处进行阐述。

特权账号管理PAM和身份识别
与访问管理IAM的区别

使用目的不同

PAM与IAM的区别

第05期 | 06

PAM与IAM的区别

软件类别不同

管理对象不同

PAM:是管理数据中心中主机、网络设备、数据库等资产上的账号,分为以下四个方面:
•账号梳理:对账号的信息进行全面的梳理,比如账号类型、账号数量、登录时间梳理等;
•风险分析:对各种风险进行分析,比如弱密码账号、僵尸账号、幽灵账号等;
•账号维护:对账号进行维护,比如账号改密等;
•安全存储:密码安全存储、安全防护。
IAM:定义和管理内部员工使用业务系统的角色和访问权限,分为以下四个方面:
•信息共享:最大程度利用企业各个信息系统的功能与数据;
•业务协同:跨系统业务流程自动贯通,将各子单位、集团等系统的业务应用联动;

PAM:管理的是数据中心的主机、网络设备、数据库等资产。
IAM:是一款业务管理软件,对接数据中心的应用系统,比如邮件系统、财务系统、人力资源系统、CRM系统等,管理内部员工使用业务系统的身份和访问权限。

IAM:针对员工从入职、日常工作、转换部门、离职的各个流程中,对个人账号进行验证、授权、权限稽核、权限回收等,比如:负责企业文化建设的人力资源员工,不应该在HR系统里看到其他员工的工资、奖金等。

管理方式不同

功能不同

IAM:是业务系统管理软件,通过对员工个人账号的统一安全及权限管理,方便员工简单、顺利、安全地访问业务系统。

PAM:运维管理软件
IAM:业务管理软件

PAM:PAM负责管理数据中心内部的资产访问和管理账号,包括收集账号信息(发现账号及对应的权限)、分析账号风险(弱密码、幽灵账号、僵尸账号、提权账号、长期未改密账号等),并实现账号的安全管理,包括自动改密、自动创建、自动回收等等。

PAM与IAM的区别

第05期 | 08

PAM与IAM的区别

收益不同

同为身份管理,齐治PAM(Privilege Access Management特权账号管理)管账号,而IAM(Identity Access Management身份和访问管理)管人。
账号,是进入虚拟世界的钥匙,对应的是一个个服务器、存储、网络、数据库等等的入门权。虚拟世界中的权限是和账号强绑定的,不同的系统有着不同的权限体系,一旦掌控一个账号,就会获得它对应的虚拟世界权限。PAM统一管理企业所有业务系统中涉及的账号,集中管控虚拟世界的权限。
而IAM,管理企业所有用户的身份凭证,也就是真实的人进入虚拟世界后转换成的身份(zhangsan001, lisi_032等等),一方面,IAM要确认这个身份就是现实世界中的“他”;另一方面在虚拟世界中为“他”开具身份证明。

PAM:看清数据中心内部的账号全貌,及时发现并处理各种账号风险,自动化维护账号密码修改,实现集中安全的密码存储,解决内生安全风险,实现合规性要求,比如防范账号乱用、符合等保要求等等。
IAM:满足企业内部所有员工对于业务系统内部用户、权限和资源的集中统一管理,使得管理者能快速明确系统内部操作权限;满足用户对于单点登录和统一认证的需求,即用户使用一个账号/口令或者一支USBKey和证书即可实现不同应用资源的登录访问。
齐治PAM特权账号管理系统,在数据中心资产账号安全、准确管理方面,有超过5年500+客户的成功验证,在单一客户处实现了96万+账号的统一管理。

•统一门户:分散的系统集中统一展示,一站式访问所有有权限的业务系统;
•统一架构:建立标准化技术体系。

账号vs人:浅谈PAM与IAM
的管理对象差异

PAM与IAM的区别

第05期 | 10

PAM与IAM的区别

大量人机交互 催生专业身份/账号管理需求

网络安全是一个庞大而复杂的行业,细分类别很多。这其中,最近两年处于快速发展期的一个类别是“身份与访问安全”,特权账号管理PAM、IAM、数字证书等都属于这个类别。
实际上,“身份/账号管理”的需求并非近两年才出现,凡是有人机交互的产品都具备相应功能——因为系统是为人服务的,而人在系统里总需要一个身份。随着技术环境日益复杂,安全形势日益严峻,过去系统自带的身份/账号管理功能越来越简陋,同样是进入系统,有的账号可以对系统进行根目录层面的更改,而有的账号只能从系统里读取数据,而且同一账号在不同时间段的权限也会有改变,同一账号进入不同系统的权限也不相同。这么复杂的配置和灵活的配置需求,系统自带的身份/账号管理功能灵活度不足,安全性受限,专业的“身份管理”需求由此产生。

账号与人 PAM和IAM管理对象不同

同样是身份管理,两者截然不同。

IAM完成用户从物理世界到虚拟世界的身份转换,管理企业所有员工的身份凭证,包括技术人员和非技术人员,对真实用户的访问进行管理控制,要求正确的人能够在正确的时间以正确的理由访问正确的资源。
而PAM通过虚拟账号来实现对虚拟世界身份的权限分配,建立账号-权限对应体系,发现、管理并治理企业技术人员账号、业务系统的机器账号等,对特权访问、会话和操作等进行监控、记录、审计和分析。PAM对非真人的业务系统账号也能进行管理控制。例如:
-服务器账号:启停用程序服务
-应用程序账号:可访问并共享敏感信息,如数据库

PAM与IAM的区别

第05期 | 12

PAM与IAM的区别

齐治PAM特权账号管理 守护数据中心账号安全

企业需要重点保护数据中心核心资产,防范内部威胁与外部威胁,PAM是最关键的选择。

特权账号的定期改密是必不可少的安全措施。但对于动辄数千甚至数十万特权账号的用户,改密过程往往会伴随着改得慢、改不准、不敢改等一系列风险;同时国内政策环境、各行业安全规范对用户提出严格要求,满足合规是用户生存的根本。
齐治PAM经过5年时间超过500家客户使用验证,即便在50w+特权账号的环境中,依然可以实现快速、准确、高效、安全的改密。

-系统管理员账号:管理操作系统的最高权限
-域名管理员账号:管理域服务器,管理域组织结构,管理AD user
-root账号:管理Unix、Linux等操作系统
-网络管理账号:管理防火墙、路由器、交换机等关键基础设施的配置参数和访问控制策略

保护核心IT资产

不管是人用还是机用账号,所有能连接至数据中心的账号,齐治PAM都不会放过。通过自动账号采集并梳理,齐治PAM形成可视化账号清单,记录每一个账号创建、使用、修改、注销的全过程。IT人员在通过特权账号进行违规操作、误操作时,齐治PAM可自动探测到有害行为并及时阻断。

提升账号安全等级

PAM与IAM的区别

第05期 | 14

PAM与IAM的区别

堡垒机自带身份认证模块,也具有双因子认证等强身份认证方式,但这些认证只对使用堡垒机访问数据中心的用户和账号有效,其身份认证的范围并不能扩大到OA、CRM、财务等其他业务系统。而IAM恰恰是对业务系统的统一身份认证管理,两者正好互为补充,解决统一身份认证的问题。

堡垒机作为数据中心运维安全管理的重要工具,在实际应用过程中,经常会需要和其他管理类产品或系统进行业务对接,以此来满足用户对运维安全的集中管控目的,实现统一的身份认证。这其中,最常见的对接系统之一就是IAM。

堡垒机与IAM集成 实现统一身份认证

堡垒机可以和IAM无缝对接

IAM(身份识别与访问管理)是业务管理软件,通过对员工个人账号的统一安全及权限管理,方便员工简单、顺利、安全地访问业务系统。针对员工从入职、日常工作、转换部门、离职的各个流程中,对个人账号进行验证、授权、权限稽核、个人风险、权限回收,实现企业内部所有员工对于业务系统内部用户、权限和资源的集中统一管理。很显然,IAM一方面可以统一员工的身份安全,另一方面员工不用在多套业务系统上建立账号和密码,而是通过IAM一个入口,访问所有有权限的业务系统,提高了管理效率。

PAM与IAM的区别

第05期 | 16

PAM与IAM的区别

案例剖析

在南洋**银行的案例中,齐治科技将堡垒机与IAM实现了无缝集成。堡垒机支持IAM本地静态密码认证(密码应有健壮性要求,包括长度、复杂度、有效期等),完全满足IAM 系统针对不同的IAM 用户灵活配置密码复杂度。
在*港集团的案例中,齐治堡垒机采用RADIUS方式,与IAM身份认证与访问管理平台对接以统一身份认证。

方式一:堡垒机-IAM-堡垒机
用户先访问堡垒机,堡垒机自动跳转至IAM的认证页面,用户完成认证之后再自动单点登录回堡垒机。
方式二:IAM-堡垒机
用户访问IAM的统一认证页面,完成认证之后选择对应产品(堡垒机),单点登录至堡垒机继续后面操作。
方式三:堡垒机-IAM
用户访问堡垒机,直接在堡垒机的认证页面输入用户名、密码,堡垒机将认证信息传递至IAM完成校验。

堡垒机和IAM的三种主流集成方式

自然人(也就是员工)通过IAM开设访问业务系统的账号并认证完成后,IAM将结果通知给堡垒机,堡垒机识别账号之后自动对该账号开放其相应功能页面,实现无缝对接。IAM识别员工在前,堡垒机在后对自然人实现授权和访问控制。

投稿邮箱
branding@shterm.com
联系电话
400-880-2393
公司地址
杭州市西湖区文一西路588号
西溪首座A6
♙ 公司网址 ♙
www.qzsec.com

Copyright © 2024 陕西妙网网络科技有限责任公司 All Rights Reserved

增值电信业务经营许可证:陕B2-20210327 | 陕ICP备13005001号 陕公网安备 61102302611033号