齐治PAM特权账号管理
常见问题解析
• PAM与IAM(统一身份认证)有什么区别? P7
• 如何管理多人共同使用同一账号口令的问题? P10
群 | 策 | 群 | 力 相 | 融 | 共 | 生
2.28
2022
目录 | contents
第02期 | 02
目录 | contents
第02期 | 03
01 PAM是什么?
02 为什么叫特权账号管理,
是不是只是Root账号?
03 PAM能够解决哪些问题?
04 PAM与堡垒机有什么区别?
05 PAM与IAM(统一身份认证)有
什么区别?
06 企业特权账号所面临的常见风险
有哪些?
07 SSO和PAM有什么关系?
08 MFA在特权账号管理实践中如何
使用?
09 如何管理多人共同使用同一账号
口令的问题?
10 硬编码内置了密码数据的场景如
何解决改密需求?
CONTENTS
目录
齐治PAM特权账号管理常见问题解析
第02期 | 04
齐治PAM特权账号管理常见问题解析
第02期 | 05
答:PAM是齐治特权账号管理产品的简称。PAM的核心是管理数据中心中主机、网络设备、数据库等资产上具有较高访问权限的账号,现在扩展到管理资产上所有具有可访问权限的账号。
当数据中心的资产达到一定规模(比如资产超过500个)以后,数据中心的各种账号的问题就会凸显出来,比如:大量的长期没人用的账号、弱密码账号、权限越级的账号、账号密码保存不安全和不规范等等。
01. PAM是什么?
02. 为什么叫特权账号管理,是不是只是
Root账号?
答:PAM是齐治特权账号管理产品的简称。PAM的核心是管理数据中心中主机、网络设备、数据库等资产上具有较高访问权限的账号,现在扩展到管理资产上所有具有可访问权限的账号。
齐治特权账号管理常见问题解析
对于PAM,
客户和合作伙伴最关心的问题有哪些?
齐治PAM特权账号管理常见问题解析
第02期 | 06
齐治PAM特权账号管理常见问题解析
第02期 | 07
答:特权账号的管理主要从四个方面实现系统账号全生命周期闭环管理:
•台账梳理:对账号的信息进行全面自动化的梳理,通过可视化数据视图呈现数据中心系统账号的全貌,包含系统账号名称、账号类型、登录时间、改密时间、账号数量、账号分布等。
•风险分析:分析全量系统账号安全状态,自动甄别弱密码、僵尸账号、幽灵账号、提权等存在潜在风险的系统账号。
• 账号维护:实现账号自动化维护,比如账号自动改密、账号生命周期变更流程管控、应用内嵌账号管理等。
• 安全存储:通过密码保险库组件及安全设计确保密码敏感数据的独立存储、安全防护,确保密码数据在PAM中是安全的。
03. PAM能够解决哪些问题?
04. PAM与堡垒机有什么区别?
答:二者区别如下:
当数据中心的资产达到一定规模(比如资产超过500个)以后,数据中心的各种账号的问题就会凸显出来,比如:大量的长期没人用的账号、弱密码账号、权限越级的账号、账号密码保存不安全和不规范等等。
05.PAM与IAM(统一身份认证)有什么区别?
答:特权账号管理、IAM是两个不同的安全主题。
PAM:特权账号管理,管理对象是数据中心里的主机、网络设备、数据库、中间件等资产上的具有较高访问权限的账号及这些资产上所有具有访问权限的账号。
齐治PAM特权账号管理常见问题解析
第02期 | 08
齐治PAM特权账号管理常见问题解析
第02期 | 09
06. 企业特权账号所面临的常见风险有哪些?
07. SSO和PAM有什么关系?
答:SSO是单点登录,PAM可以认为是单点登录的客户端,堡垒机同样可以认为是单点登录的客户端。
单点登录只是企业内部对每一个员工做唯一认证而使用的方式,通常SSO平台并不会用于数据中心,而是更多用在业务系统。比如大量的财务、销售人员,他们在登录系统的时候内网会有一个SSO的平台。
IAM:身份识别与访问管理,是一款业务管理软件,面向办公网和数据中心的主机,管理对象是业务系统的个人账号(业务账号),诸如邮箱、CRM、ERP、OA等系统的个人业务登录账号。
二者是两套不同的产品,用不同的技术思路解决不同的问题。
特权账号就属于幽灵账号,会绕开企业的安全体系,也会导致一些严重的安全事故。
第三,僵尸账号。按照等保要求,企业应该对长期不使用的僵尸账号进行禁用和删除。
此外,还有员工在外务时通过公网登录账号,这会使密码暴露在公网上,进而导致云平台受到外部攻击。
其实这些风险都是长期存在的,为什么没有人能够真正管理好这些账号,主要原因在于数据收集难。因为企业账号的数量实在太多,种类太杂,没有数据的支撑很难对这些账号风险进行识别,更无法做到可视化的直观展现。这是我们过去长期在客户当中看到的非常共性的问题。
答:第一,长期未改密。有些账号可能是为了某一个普通员工创建的,而在员工离职后,密码一直处于未修改的情况,并且这些密码均为弱口令或企业常用的默认密码。
第二,幽灵账号。部分管理员为了绕开整体的管理,有时会在使用完特权账号以后再额外新建特权账号。这些新的
齐治PAM特权账号管理常见问题解析
第02期 | 10
齐治PAM特权账号管理常见问题解析
第02期 | 11
答:MFA就是多因素认证,早期的MFA(以RSA为例)就是在每一台服务器上装Agent,它的版本兼容性非常差。因此我们将MFA进行了前置,在使用账号管理平台以后,首先密码是随机的,没有人知道;其次当员工需要使用密码时,就不得不输入自己的AD账号和Token,登录平台进行申请,在工单流程之后才能拿到密码。这个过程有多重认证,而且有些客户要求密码分段,所以拿到的密码也可以是分段的。
08. MFA在特权账号管理实践中如何使用?
答:PAM具备应用内嵌账号管理能力,针对配置文件/脚本、硬编码、中间件数据库连接池等场景出现的内置密码的场景,可以通过PAM提供的API/SDK接口实现密码数据动态查询,以此解决该场景下的密码修改变更。
答:使用堡垒机和PAM统一管控后,共用同一账号口令有两种场景:一种是通过堡垒机代填账号密码访问目标资产,多个用户使用同一资产的root时,会在堡垒机上生成不同的会话条目;第二种情况是通过PAM申请密码工单、查询并使用明文密码访问目标资产,密码工单具有排他性,同一账号同一时间段,仅允许一个用户申请并使用,工单到期后密码自动修改。
09. 如何管理多人共同使用同一账号口令
的问题?
10.硬编码内置了密码数据的场景.
如何解决改密需求?
♙ 投稿邮箱 ♙
branding@shterm.com
♙ 联系电话 ♙
400-880-2393
♙ 公司地址 ♙
杭州市西湖区文一西路588号
西溪首座A6
♙ 公司网址 ♙
www.qzsec.com
增值电信业务经营许可证:陕B2-20210327 | 
陕公网安备 61102302611033号