要了解特权身份，首先必须确定身份是什么，管理员可用于验证属于网络的用户的真实性的任何形式的唯一身份验证都是身份，这些包括密码、用户名、员工 ID、手机号码、安全答案等。

这些身份通常存储在 Active Directory 等目录中，并使用轻型目录访问协议（LDAP）等协议进行管理，这两种协议都分配了对网络内信息的特定级别的访问，调用该目录来验证用户输入的身份。

并非所有身份都是一样的，有权访问特权身份的用户可以访问关键控件，例如系统安全设置、管理功能、凭据管理功能、破窗配置、数据中心管理功能等。

这些特权用户的身份称为特权身份，通俗地说，特权身份是属于用户的任何身份，其角色应该有特权访问网络中的信息。特权身份的一些示例包括密码、SSH 密钥、SSL 证书、身份验证令牌、一次性密码（OTP）等。

IAM、PIM 和 PAM 之间的区别

在更广泛的方案中，PIM 和 PAM 都是身份和访问管理 （IAM） 的子集，用于监视、保护和管理企业身份。但是，在保护和管理特权身份时，PAM 和 PIM 起着至关重要的作用。为了更好地理解这种区别，让我们定义以下每个概念：

• IAM ：IAM 是一个安全框架，由特殊策略、控制和解决方案组成，可促进数字企业身份的管理，IT 经理利用 IAM 策略来控制对组织内数据库、资产、网络、应用程序和资源的访问。
• PAM ：PAM 是 IAM 的一类，负责构建访问控制框架，以保护、管理、监视和控制整个企业中的特权访问路径和活动。
• PIM ：PIM 是 PAM 的子类，包括用于管理和保护特权身份（如服务帐户、用户名、密码、SSH 密钥、数字证书等）的基本安全控制和策略，这些身份提供对敏感信息的访问。

从这个角度来看，IAM 涵盖了整个企业垂直领域更广泛的访问模式，包括所有用户、系统、资源和资产，另一方面，PIM 和 PAM 涵盖了围绕特权资源和系统的访问模式。

为什么特权身份管理对企业很重要

如今，企业 IT 部门面临着提供对企业资源的精细访问的挑战。缺乏有关用户和数据请求者的上下文信息，这是在授予数据权限之前要考虑的重要因素。

特权身份在任何 IT 环境中都无处不在。IT 管理员、特权用户、第三方承包商、供应商、工程团队 - 每个人都需要访问特权帐户和凭据才能执行业务敏感操作。但是，如果这些身份未使用适当的访问控制策略进行保护，则更高的权限会带来更大的安全风险。对特权身份的松散管理可能会为攻击提供理想的机会，使其能够闯入组织的安全边界，并在不留下任何痕迹的情况下浏览业务敏感信息。此外，如果 IT 团队没有关于其员工使用其权限做什么或如何使用特权帐户的跟踪记录，则任何恶意内部人员都可以利用其权限并破坏业务数据以谋取私利。

任何企业的成功都取决于其处理的数据的隐私性和准确性。因此，管理和控制对数据和企业资产的访问对于任何组织来说都是至关重要的。同样，为了避免因数据泄露而受到任何处罚或诉讼，组织必须确保在验证对其数据的访问时简化工作流程。

话虽如此，特权身份管理（PIM）解决方案旨在集中、控制、跟踪和保护对特权帐户和身份的访问。这将使 IT 团队能够完全控制和查看其特权资产、资源和身份。PIM 工具还可以提供可操作的见解，以保持符合监管标准。

实施特权身份管理解决方案的主要优势

• 完全控制和可见性：通过将特权帐户和身份存储在受多因素身份验证保护的加密数字保管库中，来控制这些帐户和身份。
• 改善安全态势：将威胁向量减少到零，并帮助有效应对日益增长的外部攻击、身份盗用和内部威胁风险。
• 数据驱动的事件响应：实施安全控制，通过实时用户活动审计和综合报告来检测和防止可疑用户活动和特权帐户滥用。
• 消除长期特权：清除与长期权限相关的风险，例如识别和删除孤立或非活动帐户，启用基于角色的访问控制和审批工作流，以实现凭据的精细共享。
• 无缝遵守行业法规：遵守行业和政府标准和法规，例如 HIPAA、PCI DSS、GDPR、NERC-CIP、SOX 等。

有效特权身份管理的最佳实践

• 在安全、强化的在线存储库中发现和存储特权身份列表，例如密码、SSH 密钥、数字证书。每当添加/创建新身份时自动更新列表。
• 实施严格的策略，例如定期密码重置、基于时间和角色的特权资源访问、一次性使用时自动重置凭据以及其他安全控制。
• 通过向非管理员用户和第三方授予特权访问权限来实施最低权限控制，这些用户和第三方具有最少且几乎足够的权限来执行其活动。
• 实时监控和审核特权访问活动和远程会话，以识别恶意用户，并做出明智的安全决策。

特权身份管理（PIM）

特权身份管理（PIM）是特权访问管理（PAM）过程的一部分，PIM 涉及一组安全控制，用于监视、控制和审核对企业特权身份（包括服务帐户、数据库帐户、密码、SSH 密钥、数字签名等）的访问。通过实施强大的 PIM 策略，企业可以降低特权滥用带来的安全风险。

PIM 解决方案专门设计用于帮助 IT 团队实施精细控制，并对其权限身份进行严格治理，从而有助于防止内部威胁和滥用用户权限。

PIM 鼓励组织确定谁可以访问哪些信息以及何时访问，它提倡通过屏幕录像和记录特权用户异常行为实例来监视网络中所有特权用户的活动等做法。

实施特权身份管理策略将帮助组织大幅减少网络攻击的漏洞，并在发生此类事件时缓解威胁响应程序，PIM 要求组织实践多重身份验证、受监管的密码重置，并要求员工遵守密码策略。

仔细研究有关特权身份滥用或任何其他网络攻击的数据泄露，问题的症结在于用户和资源管理不善。虽然上述用例将特权身份管理描述为最终解决方案，但它只是触及了表面。用户和资源管理是完美的特权身份管理方案的最主要但最关键的用例。

可以使用 PIM 解决方案合并企业级别的特权身份管理实践，PIM 软件解决方案有助于将特权身份管理策略自动化并推进到实际用途，例如：

• 集中管理特权用户和资源，并通过直接从企业仪表板将他们添加到 PIM 软件来自动化流程。
• 对资源和用户进行分组以强制实施自定义策略。
• 部署密码验证检查以审核对合规性要求的遵守情况。
• 批准密码完整性检查的定期报告。
• 根据特权用户的要求选择性地将密码共享给特权用户。
• 在不暴露密码的情况下保护对远程会话的一键式访问。
• 实时监控和审核远程用户会话。

如何选择正确的特权身份管理（PIM）解决方案

鉴于特权身份管理是特权访问管理（PAM）的一部分，组织应考虑实施强大的 PAM 解决方案，该解决方案封装了 PIM 的固有用例，同时包括其他核心PAM控制，例如特权会话管理、安全远程访问、特权用户行为分析 （PUBA）、计算机身份管理、应用程序凭据安全性、实时特权提升、 等等。

PAM360 面向企业的统一特权访问管理解决方案。它使 IT 管理员和特权用户能够对关键 IT 资源（如密码、数字签名和证书、许可证密钥、文档、图像、服务帐户等）进行精细和全面的控制。

PAM360 是一个多合一的企业特权访问管理解决方案，允许 IT 团队有效地自动发现、存储和管理对特权身份的访问。PAM360 的原生特权用户行为分析（PUBA）允许组织审核特权用户的行为并实时报告异常情况，确保企业特权身份的端到端安全性。