零长期特权(ZSP)是一个 IT 安全术语,指的是非永久性的访问权限或权限,ZSP 最初由 Gartner 创造,是一种通过删除多余的永久特权(也称为长期特权)来帮助改善组织安全态势的方法。
ZSP 是零信任安全模型的关键组件,也是特权访问管理(PAM) 控制的最终目标,例如实时 (JIT) 访问、自适应身份验证、最小特权原则和访问控制工作流。
零长期特权(ZSP)与最低特权
最小权限表示用户只能访问完成作业所需的资源(而不是被授予对整个网络或大部分网络的访问权限)。最小权限将风险降至最低,因为它限制了用户受到威胁或恶意时造成的损害。
当用户是动态的,随着时间的推移从一个角色移动到另一个角色,从一个团队移动到另一个团队时,实现最小特权是具有挑战性的。他们需要资源来完成一项工作,而下一项工作不再需要这些资源。这就是限时访问的用武之地。如果特权访问在一段时间后自动消除,则权限不会在雷达上徘徊,访问管理也变得不那么繁琐。
最低权限是标准,零信任是理想的。零长期特权以不存在特权的状态为目标,是组织实现该特权的一种手段。若要迁移到零信任模型,必须消除特权帐户。即使对于管理员来说,管理员凭据也可能被黑客入侵,并且损害可能很大。必须评估每个访问请求,以确保它适合用户的当前角色和职责。并且应该有时间限制,以防止不必要的权限。零长期特权是一种实用的方法,可以让用户在所需的特定时间段内访问他们需要的确切资源。
什么是长期特权
长期权限通常是“始终在线”的管理访问权限,任何人都可以使用它来获得对关键系统的永久访问权限。长期特权的一些最佳示例包括:
- 与多个利益干系人和团队共享和使用的凭据,没有任何时间限制。
- 特权用户帐户、SSL 和 TLS 证书、身份验证令牌以及密码短语,这些密码长时间处于非托管和监视状态。
- 在不定期轮换的纯文本文件或脚本中硬编码的凭据和机密。
在许多组织中,负责管理业务敏感 IT 资源(如服务器、数据库和应用程序)的人员通常被授予关键权限。这是因为他们的角色通常需要持续、即时地访问此类敏感系统,以用于日常操作和维护目的。
虽然标准 PAM 工具提供了与用户共享这些权限的选项,但这些权限通常是永久性的。此外,访问权限通常是在全有或全无的基础上授予的,基于整体角色或部门的需求,而不是实际个人的需求。如果这些特权被恶意内部人员和其他威胁行为者暴露或滥用,可能会给组织带来厄运。
理想情况下,PAM 工具应该提供的是细粒度的访问控制,允许管理员仅根据具体情况提供对任务关键型资产的访问。
掌握具有最低权限和 JIT 访问控制的常设权限
为了最大程度地降低长期特权带来的安全风险,组织应采用最小特权原则,即仅向用户提供足以完成其日常任务的访问权限。JIT 访问预配应用最小特权原则,授予用户对共享敏感资源的限时独占访问权限。这是通过创建临时管理帐户来实现的,这些帐户在访问期结束后立即过期。
可以使用内置 JIT 权限提升功能的 PAM 工具自动执行整个过程。一个好的 PAM 工具还应该提供基于角色和策略的访问控制,从而使管理员更容易为用户分配与其工作角色相称的默认访问权限。使用此类工具,管理员还可以动态触发访问策略,并针对提出的每个访问请求执行后续操作。
如果用户需要对终结点进行管理访问,则可以为他们提供 JIT 提升的访问权限,并在请求窗口关闭后安全降级。此外,此类敏感端点的凭据应自动轮换,以确保它们不会停留在原地并最终成为攻击者梦寐以求的长期特权。
通过实施最低权限访问控制,组织可以毫不费力地证明符合监管机构的要求,例如 HIPAA、GDPR、SOX、PCI DSS、CCPA 和 ISO。此外,为了获得网络保险的资格,保险公司要求组织实施最低权限访问并删除管理员权限以收紧其 IT 安全协议。
此外,JIT 工作流与 ITSM 工具集成时,可以通过要求用户出示说明其访问要求的工单 ID 来显着增强安全性,并立即批准或否决请求。因此,JIT 工作流将管理特权访问限制为仅在必要时持续,可以短至五分钟,从而大大减少了攻击面。
ZSP最佳实践
ZSP被行业推动者和震动者推广为企业必须实现的里程碑。然而,由于机器身份的激增和复杂的业务工作流,实现完整的 ZSP 可能是一项具有挑战性的工作。但是,组织必须将最小特权原则作为最低安全控制,以压缩其攻击面。
对于刚刚起步的组织,ZSP 可以通过临时帐户勉强实现。以下是 IT 团队在访问管理例程中应遵循的一些 ZSP 最佳实践:
- 强制执行请求释放过程,在该过程中,用户首先必须提出特权访问请求。根据请求的优点,管理员可以授予或拒绝对 IT 资源的访问权限。
- 为用户分配默认的最小权限,以执行其日常任务。当他们提出需要获得对端点的管理权限的有效需求时,使用临时帐户临时提升其权限。
- 在每次用户会话后轮换 IT 资产和端点的凭据,以确保旧密码不再有效,从而防止将来发生任何未经授权的访问。
- 控制和限制对敏感应用程序和命令的访问。
- 使用控件来监视和审核特权会话。
- 实施多重身份验证,为特权实体添加另一层安全性。
实现 ZSP 的最佳途径包括实施 PAM 解决方案,该解决方案包括并自动执行所有这些最佳实践。PAM 解决方案通过自动发现和载入特权帐户,帮助您迈出迈向 ZSP 的第一步,从而确保没有帐户处于未管理状态或未下落。这些工具提供精细的访问控制工作流、JIT 访问和最低权限控制,使管理员能够有效地检查特权访问例程并为管理用户保留访问权限。
随着 PAM 工具随着网络环境的不断发展,组织自然会朝着实现全面 ZSP 的方向迈出一大步。
如何帮助实施ZSP
PAM360 是一种全栈 PAM 解决方案,可帮助企业保护、监控、审计和规范其特权访问例程。内置零信任访问功能使 IT 团队能够实施 JIT 和最低权限访问、应用程序和命令控制以及基于策略的访问配置,从而确保正确的用户对敏感资源具有管理访问权限。
此外,PAM360 的内置会话管理引擎提供对远程端点的直接一键式访问,而无需暴露其密码。通过 PAM360 控制台启动的所有会话都可以被监控、审核和记录,如果用户从事可疑活动,管理员还可以终止会话。
PAM360 提供与企业 IT 工具和业务应用程序的无缝集成,帮助您将特权访问安全性扩展到所有业务工作流程并增强您的安全态势。