什么是零长期特权(ZSP)

news2024/11/17 9:37:14

零长期特权(ZSP)是一个 IT 安全术语,指的是非永久性的访问权限或权限,ZSP 最初由 Gartner 创造,是一种通过删除多余的永久特权(也称为长期特权)来帮助改善组织安全态势的方法。

ZSP 是零信任安全模型的关键组件,也是特权访问管理(PAM) 控制的最终目标,例如实时 (JIT) 访问、自适应身份验证、最小特权原则和访问控制工作流。

零长期特权(ZSP)与最低特权

最小权限表示用户只能访问完成作业所需的资源(而不是被授予对整个网络或大部分网络的访问权限)。最小权限将风险降至最低,因为它限制了用户受到威胁或恶意时造成的损害。

当用户是动态的,随着时间的推移从一个角色移动到另一个角色,从一个团队移动到另一个团队时,实现最小特权是具有挑战性的。他们需要资源来完成一项工作,而下一项工作不再需要这些资源。这就是限时访问的用武之地。如果特权访问在一段时间后自动消除,则权限不会在雷达上徘徊,访问管理也变得不那么繁琐。

最低权限是标准,零信任是理想的。零长期特权以不存在特权的状态为目标,是组织实现该特权的一种手段。若要迁移到零信任模型,必须消除特权帐户。即使对于管理员来说,管理员凭据也可能被黑客入侵,并且损害可能很大。必须评估每个访问请求,以确保它适合用户的当前角色和职责。并且应该有时间限制,以防止不必要的权限。零长期特权是一种实用的方法,可以让用户在所需的特定时间段内访问他们需要的确切资源。

什么是长期特权

长期权限通常是“始终在线”的管理访问权限,任何人都可以使用它来获得对关键系统的永久访问权限。长期特权的一些最佳示例包括:

  • 与多个利益干系人和团队共享和使用的凭据,没有任何时间限制。
  • 特权用户帐户、SSL 和 TLS 证书、身份验证令牌以及密码短语,这些密码长时间处于非托管和监视状态。
  • 在不定期轮换的纯文本文件或脚本中硬编码的凭据和机密。

在许多组织中,负责管理业务敏感 IT 资源(如服务器、数据库和应用程序)的人员通常被授予关键权限。这是因为他们的角色通常需要持续、即时地访问此类敏感系统,以用于日常操作和维护目的。

虽然标准 PAM 工具提供了与用户共享这些权限的选项,但这些权限通常是永久性的。此外,访问权限通常是在全有或全无的基础上授予的,基于整体角色或部门的需求,而不是实际个人的需求。如果这些特权被恶意内部人员和其他威胁行为者暴露或滥用,可能会给组织带来厄运。

理想情况下,PAM 工具应该提供的是细粒度的访问控制,允许管理员仅根据具体情况提供对任务关键型资产的访问。

掌握具有最低权限和 JIT 访问控制的常设权限

为了最大程度地降低长期特权带来的安全风险,组织应采用最小特权原则,即仅向用户提供足以完成其日常任务的访问权限。JIT 访问预配应用最小特权原则,授予用户对共享敏感资源的限时独占访问权限。这是通过创建临时管理帐户来实现的,这些帐户在访问期结束后立即过期。

可以使用内置 JIT 权限提升功能的 PAM 工具自动执行整个过程。一个好的 PAM 工具还应该提供基于角色和策略的访问控制,从而使管理员更容易为用户分配与其工作角色相称的默认访问权限。使用此类工具,管理员还可以动态触发访问策略,并针对提出的每个访问请求执行后续操作。

如果用户需要对终结点进行管理访问,则可以为他们提供 JIT 提升的访问权限,并在请求窗口关闭后安全降级。此外,此类敏感端点的凭据应自动轮换,以确保它们不会停留在原地并最终成为攻击者梦寐以求的长期特权。

通过实施最低权限访问控制,组织可以毫不费力地证明符合监管机构的要求,例如 HIPAA、GDPR、SOX、PCI DSS、CCPA 和 ISO。此外,为了获得网络保险的资格,保险公司要求组织实施最低权限访问并删除管理员权限以收紧其 IT 安全协议。

此外,JIT 工作流与 ITSM 工具集成时,可以通过要求用户出示说明其访问要求的工单 ID 来显着增强安全性,并立即批准或否决请求。因此,JIT 工作流将管理特权访问限制为仅在必要时持续,可以短至五分钟,从而大大减少了攻击面。

在这里插入图片描述

ZSP最佳实践

ZSP被行业推动者和震动者推广为企业必须实现的里程碑。然而,由于机器身份的激增和复杂的业务工作流,实现完整的 ZSP 可能是一项具有挑战性的工作。但是,组织必须将最小特权原则作为最低安全控制,以压缩其攻击面。

对于刚刚起步的组织,ZSP 可以通过临时帐户勉强实现。以下是 IT 团队在访问管理例程中应遵循的一些 ZSP 最佳实践:

  • 强制执行请求释放过程,在该过程中,用户首先必须提出特权访问请求。根据请求的优点,管理员可以授予或拒绝对 IT 资源的访问权限。
  • 为用户分配默认的最小权限,以执行其日常任务。当他们提出需要获得对端点的管理权限的有效需求时,使用临时帐户临时提升其权限。
  • 在每次用户会话后轮换 IT 资产和端点的凭据,以确保旧密码不再有效,从而防止将来发生任何未经授权的访问。
  • 控制和限制对敏感应用程序和命令的访问。
  • 使用控件来监视和审核特权会话。
  • 实施多重身份验证,为特权实体添加另一层安全性。

实现 ZSP 的最佳途径包括实施 PAM 解决方案,该解决方案包括并自动执行所有这些最佳实践。PAM 解决方案通过自动发现和载入特权帐户,帮助您迈出迈向 ZSP 的第一步,从而确保没有帐户处于未管理状态或未下落。这些工具提供精细的访问控制工作流、JIT 访问和最低权限控制,使管理员能够有效地检查特权访问例程并为管理用户保留访问权限。

随着 PAM 工具随着网络环境的不断发展,组织自然会朝着实现全面 ZSP 的方向迈出一大步。

如何帮助实施ZSP

PAM360 是一种全栈 PAM 解决方案,可帮助企业保护、监控、审计和规范其特权访问例程。内置零信任访问功能使 IT 团队能够实施 JIT 和最低权限访问、应用程序和命令控制以及基于策略的访问配置,从而确保正确的用户对敏感资源具有管理访问权限。

此外,PAM360 的内置会话管理引擎提供对远程端点的直接一键式访问,而无需暴露其密码。通过 PAM360 控制台启动的所有会话都可以被监控、审核和记录,如果用户从事可疑活动,管理员还可以终止会话。

PAM360 提供与企业 IT 工具和业务应用程序的无缝集成,帮助您将特权访问安全性扩展到所有业务工作流程并增强您的安全态势。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1246165.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【OpenSTL】方便好用的时空预测开源库

OpenSTL:方便好用的时空预测开源库 时空预测学习是一种学习范式,它使得模型能够通过在无监督的情况下从给定的过去帧预测未来帧,从而学习空间和时间的模式。尽管近年来取得了显著的进展,但由于不同的设置、复杂的实现和难以复现性…

【精选】框架初探篇之——MyBatis入门必知【面试常问】

什么是MyBatis? MyBatis是一个半自动的ORM框架,其本质是对JDBC的封装。使用MyBatis不需要写JDBC代码,但需要程序员编写SQL语句。之前是apache的一个开源项目iBatis,2010年改名为MyBatis。 补充: Hibernate也是一款持久层ORM框架&…

若依vue-修改标题和图标

因为我们拉下来的代码,图标和logo是若依的,这和我们需要做出来的效果有差别 这个时候就需要去对应的文件内去修改标题和图标 (主要就是这两个地方的图标和标题) 修改菜单里面的logo以及文字 修改文字 位置: src/layout/component/Sidebar/Logo.vue 此处的title文字是定义在…

大厂前沿技术导航

百度Geek说 - 知乎 腾讯技术 - 知乎 美团技术团队

HttpClient库请求代码示例

首先,我们需要导入HttpClient库,以便我们可以使用它来发送HTTP请求。以下是如何完成此操作的代码: java import org.apache.http.HttpEntity; import org.apache.http.client.methods.CloseableHttpResponse; import org.apache.http.client.…

新苹果手机如何导入旧手机数据?解决方案来了,记得收藏!

为了保持其竞争优势,苹果公司不断推出新的产品和服务,因此苹果手机的更新换代速度是比较快的。正巧最近刚出了iPhone15,相信很多小伙伴已经换上了期待已久的新手机。 更换新手机后,大家都会面临一个问题:新苹果手机如…

TikTok Shop 与英国皇家邮政合作:为卖家提供“Click and Drop”服务

11 月 21 日,TikTok Shop 宣布与皇家邮政 建立新的合作伙伴关系 ,为平台上的商家推出 Click & Drop。此次合作将使各种规模的商家能够通过将皇家邮政的 Click & Drop 与其 TikTok Shop 帐户集成来改善其履行体验并更有效地发出订单,…

什么手机30万?VERTU唐卡手机顶配56.8万

近日,一则新闻在社交媒体上引发了广泛关注。一名男子遗失了一部价值30万的VERTU唐卡定制款手机,而一位女士在捡到这部手机后,误以为是一部普通的老年机,引发了种种误会。30万的手机是什么牌子?VERTU唐卡手机浮出水面 据了解,这部VERTU唐卡定制款手机是一款豪华的奢侈品定制手机…

leetcode:495. 提莫攻击

一、题目 链接&#xff1a;495. 提莫攻击 - 力扣&#xff08;LeetCode&#xff09; 函数原型&#xff1a;int findPoisonedDuration(int* timeSeries, int timeSeriesSize, int duration) 二、思路 遍历数组timeSeries&#xff0c;如果 元素值duration < 下一元素值 &#x…

Windows下安装Anaconda3并使用JupyterNoteBook

下载安装包 Anaconda官网 进官网&#xff0c;点击下载 自动根据当前系统下载对应的包了&#xff0c;安装包大约1G&#xff0c;喝杯Java耐心等待。 安装 很多人安装C盘&#xff0c;我这里放D盘。 注意&#xff1a;你的文件夹目录一定要不能有空格 然后其他的直接默认install即…

【ChatGLM3-6B】Docker下部署及微调

【ChatGLM2-6B】小白入门及Docker下部署 注意&#xff1a;Docker基于镜像中网盘上上传的有已经做好的镜像&#xff0c;想要便捷使用的可以直接从Docker基于镜像安装看Docker从0安装前提下载启动访问 Docker基于镜像安装容器打包操作&#xff08;生成镜像时使用的命令&#xff0…

oracle rac环境归档日志清除

文章目录 一、处理步骤1、使用终端登录上服务器查看磁盘使用状态2、使用恢复备份管理工具RMAN删除归档日志 二、详细操作步骤三、定时任务自动清归档日志1、编写删除脚本4、测试脚本运行情况5、设置定时任务每周执行一次&#xff0c;并测试运行效果 昨天单位的所有系统都连不上…

干货科普 | 不同类型的机器人及其在工作中的应用

原创 | 文 BFT机器人 制造商在其操作中使用各种类型的机器人&#xff0c;每种机器人都具有特定的能力和功能。我们将讨论制造业中使用的一些最常见类型的机器人&#xff0c;以及哪种机器人可能最适合您的应用。 01 关节机器人 关节式机器人是一种工业机器人&#xff0c;具有一…

管理后台系统,springboot+redis+nginx+html+bootstrap

一个简易版的管理后台系统&#xff0c;前后端分离&#xff0c;可适用于小团队开发&#xff0c;支持二次开发。 后端主要技术springboot&#xff0c;他可以帮我们快速的搭建项目&#xff0c;并快速实现开发。 redis做缓存&#xff0c;保存登录状态和一些高频率查询的基础数据。…

玻色量子“揭秘”之背包问题与Ising建模

摘要&#xff1a;背包问题(Knapsack problem)是一种组合优化的NP-Complete问题。问题可以描述为&#xff1a;给定一组物品&#xff0c;每种物品都有自己的重量和价格&#xff0c;在限定的总重量内&#xff0c;我们如何选择&#xff0c;才能使得物品的总价格最高。 背包问题早期…

高清录屏软件推荐,捕捉每一个美好瞬间

在数字媒体和内容创作领域&#xff0c;高清录屏软件已经成为了日常工作与娱乐中不可或缺的一部分。无论是录制游戏视频、制作教育教程&#xff0c;还是记录演示文稿&#xff0c;高清画质能够让您的内容更加生动、吸引人。在本文中&#xff0c;我们将介绍三款不同的高清录屏软件…

微信小程序商城实例mpvue-xbyjShop-master(附精选源码32套,涵盖商城团购等)

mpvue-xbyjShop 基于mpvue的微信小程序商城&#xff08;小程序端&#xff0c;服务端&#xff09; 小程序端 技术栈 mpvue mpvue-router-patch mpvue-entry vuex webpack ES6/7 flyio mpvue-wxparse 项目运行 微信开发中工具选中mpvue-xbyjShop/buyer作为项目目录即可功…

RFID技术在刀具智能管理中的应用

RFID技术在刀具智能管理中的应用 科技日新月异&#xff0c;工业科技的不断提升,慢慢的改变了传统制造业。RFID技术的崛起改变了传统的人工记录数据、盘点物料的方式&#xff0c;带来更高效、错误率低的解决方案。 刀具是生产过程中不可或缺的工具&#xff0c;高效管理和利用刀…

Zabbix-Liunx服务器内存使用率测试

要在Python 2.7中运行内存消耗脚本并安装psutil&#xff0c;您需要先安装pip。以下是完整的步骤&#xff0c;包括如何在Python 2.7环境中安装pip&#xff0c;然后安装psutil&#xff0c;以及最后如何运行内存消耗脚本。 步骤1: 安装pip 在Python 2.7中安装pip&#xff1a; 首先…

rocketMQ5.0顺序消息golang接入

本人理解&#xff0c;顺序消息如果不分消息组&#xff0c;那么会影响并行处理速度&#xff0c;所以尽量消息组分的散一些 首先上要求&#xff0c;官方文档如下&#xff1a; 总结&#xff1a; 1.必须同一个消息组&#xff0c;消息组和消费组不是一个概念&#xff0c;不要混 2.必…