【霄享·安全】特权账号管理平台——2023年8月刊（总第42期）

点击蓝字关注我们

”

对于大多数的公司而言，随着公司的发展与业务规模的扩大，生产经营所需的平台系统资源数量，也相应地随之增加。除了诸如OA、CRM等这类网站软件形式的系统外，还包括例如服务器、数据库、网络硬件设备等常见的基础设施。

随着这些基础设施的数量不断增加，如何管理这么多不同类型的系统资源，逐渐成为各位IT运维人员感到头疼的难题。资源管理涉及到了很多方面，在这之中的账号管理——尤其是对特权账号的管理——是非常重要而又很棘手的问题之一。

什么是特权账号

我们以主机服务器为例，一台主机服务器在通常情况下会包含例如“root”和“user”等一类的账号，使用的人员在知道账号和与之匹配的密码时，就可以使用这个账号的身份登录到主机服务器中，执行不同类型的操作。

由于各种各样的原因，有些时候我们并不希望这些账号可以不受限制地执行任何操作，我们就需要对账号设置权限。一个账号拥有特定的权限，通常就意味着这个账号可以执行特定的操作。从保障网络安全的角度来说，IT部门通常会要求，只给某一个账号它所需要的最小范围权限。简单地说，一个账号需要什么权限，就只赋予它这些权限。

当某些特殊的账号拥有几乎所有的权限，能够执行任何类型的操作时,这种类型的账号我们就称之为特权账号。当然，除了拥有的权限又多又高的账号可以被称为特权账号之外，其他类型的账号也可以被纳入这个范围之中。

例如在银行系统中，某一台数据库服务器的只读账户也可以叫做特权账号。尽管我们利用这个账号无法真的“执行”什么操作，但是却可以读取到银行客户的个人信息和账户流水等敏感信息。从数据安全的角度来看待这些账号，他们的权限也已经非常大了。

因此广义上说，特权账号可以指所有数据中心IT运维相关的共享类的账号，包括只读账号。

图1 不同种类的账号都有可能属于特权账号

特权账号的管理

我们都知道，不管是什么样的平台或者系统也好，账号以及密码等登录信息都是需要妥善保管的，毕竟谁也不希望有陌生人员在你不知道的情况下悄悄地登录进你的账号。对于普通账号是如此，对于特权账号亦是如此。

如果这些特权账号出现了泄露的情况，绝大多数情况下都会造成较为严重的安全事故或重大的经济损失。

例如在2006年，深圳某公司工程师程外包运维人员，就多次利用自己拥有的特权账号侵入公司总部的充值中心数据库，窃取充值卡并向他人销售，造成了价值300多万人民币的经济损失，后续甚至出现了利用现有账号，通过特殊手段提升到了系统最高权限的危险行为。

再例如2017，国内某高校内部使用的数据库，被相关人员在未经授权和许可的情况下，私自记录了该账号密码。随后他登录数据库，编写和执行可疑程序和锁表语句，导致了重大的生产事故，直接经济损失高达800万人民币。

由此可见，特权账号如果缺少妥善保管，造成的后果是十分严重的。但是根据绝大多数IT部门的实际经验，我们知道管理资源这件事情本身就是一件非常棘手的事情，管理特权账号亦是如此。

管理特权账号的最主要的难点，一般在于账号的梳理与密码的管理。

一方面，随着公司规模扩大，使用的资源越来越多，随之而来的便是数量庞大的各种账号。这些账号中，有一部分可能集中在IT部门的管理员手中，还有的一部分可能由具体项目的开发人员自行保管。久而久之，账号仿佛散落在公司的各个角落一般，想要再进行回收和整理，如同大海捞针那样无从下手。

另一方面，即使所有的账号都完完整整地交由管理员统一管理，那如何记录这些账号以及与之对应的密码呢？我们都知道，账号的密码原则上是必须要确保它的保密性，通常都要满足密码复杂度（这包括了密码长度以及必须包括的字符类型）和定期密码轮换（固定时间对密码进行修改）。很少有人能保证所有的账号都满足规定的密码复杂度，如果需要人工一一梳理，自然要花费大量的精力和重复劳动来进行确认。更何况还要进行定期的密码修改，那更是一笔不小的人力开销。

因此，把特权账号安全地、妥善地管理好，可以说是企业的生产经营活动中至关重要的组成部分。如果能有一个专门为特权账号提供集中管理的平台，最大程度地简化特权账号的管理难度，那自然是最好不过的事了。为了解决这样的燃眉之急，特权账号管理平台（Privileged Account Management, PAM）应运而生了。

特权账号管理平台

顾名思义，特权账号管理平台是针对特权账号及其对应的一系列管理措施所构成的管理系统。

简单而言，就是将所有的特权账号，都交给特权账号管理平台进行集中管理，由平台来处理账号的申请审批、密码的复杂度检测、密码的定期修改等管理行为。

这里提到的“管理”，在一般环境下包括了以下这些方面：

■ 账号保存

特权账号管理平台的主要作用之一，就是将账号和密码进行集中保存。这些账号的存取都集中在平台中，一方面能够简化管理工作，另一方面也更容易对这些信息进行例如加密、备份等处理，确保特权账号的安全性。

图2 账号信息集中保存在特权账号管理平台中

■ 安全合规

之前我们提到了密码需要满足复杂度要求和定期轮换要求，这两项都是合规要求中的“常客”，通常也是必须满足的项目。试想一下，如果是通过人工的方式去检查密码是否满足要求，或是修改密码，基本上只能依次对各个账号进行登录，找出原来的旧密码，生成满足要求的新密码，然后执行指定的动作来定期修改密码。

特权账号平台能够将这一系列的动作进行自动化，对于某一类具体的资源，只需要进行相对应的配置，就可以交给平台来处理密码事宜。比如说，平台可以根据预设的密码复杂度要求，在设定的时间结点，自动生成新的密码并将旧密码进行更新替换。除此之外，像是新密码不能是曾经使用过的密码等这类更加严格的合规项目，也可以转变为专门的密码策略条目进行设置。

图3 特权账号管理平台可以设置密码复杂度与密码自动修改

图4 特权账号管理平台能够检查密码合规情况

■ 流程审批

在过去的实践中，确实有一部分IT部门是通过文档或表格来记录账号和密码信息，一些技术能力较强的，可能会使用例如数据库表等工具来辅助管理。除此之外还存在我们之前提到的，一部分账号并没有上交给管理人员进行管理。在这种情况下，特权账号的安全性实际上是难以保障的。

在特权账号管理平台集中管理的前提下，所有人员实际上并不再掌握某一个特定账号，相反每一次的账号使用需求，都需要经过平台进行申请。通过“申请-审批”的方式，一定程度上能够规避特权账号的未授权访问以及私自滥用的问题。

图5 用户需要通过提交申请获取访问特定资源的许可

图6 特权账号管理平台上的资源访问申请记录列表

除了上述的这些基本功能以外，特权账号管理平台通常也会具备其他的功能。在账号管理方面，一方面平台能够对已知的或是给定的账号进行管理，另一方面也能够具备自动扫描发现未知账号的能力。比如说由于项目业务的变动，曾经手动创建的、或是由框架或中间件自动创建的账号，尽管已经不再使用了，但没有进行及时清理。如果这些账号仍然具备登录能力，无疑是增加了安全攻击面。自动发现这些“僵尸账号”能够很好地降低潜在的安全风险。

此外，特权账号管理平台也能结合例如SSH远程连接或数据库连接等常用工具，在管理特权账号的基础上提供系统接入能力，为IT运维人员提供实际的统一运维操作入口。这样一来，结合平台提供的账号管理、申请审批流程和合规审计能力，能够更进一步地改善和提升公司整体的运营运维能力。

图7 特权账号管理平台能够提供资产的连接与访问能力

帆一云于近期上线了特权账号管理平台，为客户的云上资产提供统一的特权账号单点登录能力，以及集中化的特权账号管理能力，能够显著地提升生产和运营运维的效率。此外，特权账号管理平台借助SaaS化形式，通过安装代理客户端的形式，为用户对位于帆一云以外的特权账号资产也提供管理能力。帆一为各位用户提供了平台的试用名额，希望读到此处的各位可以联系我们进行咨询和试用，感受特权账号管理平台带来的全新体验。

帆一尚行是上汽集团为数字化转型而设立的创新平台，以“消融产业边界，释放数据价值”为己任，聚焦安全云、自动驾驶云、智能制造及产业互联网技术领域，赋能行业数字化转型，加速产业数字化、数字产业化进程，积极推动社会数字经济发展。作为一家深耕汽车行业云计算，同时发展多元化业务的科技公司，帆一尚行为企业、开发者和政府机构等提供安全、可靠的数据计算与处理能力、专属云产品与服务。

相关产品信息请联系公众号后台。

本期专家介绍

宋丹阳

上海帆一尚行科技有限公司网络安全专家

专注于云安全、安全运营与应急响应、应用安全等方面的实践。

部分内容与图片源自网络，如有侵权请与我们联系删除。

点击下方名片，关注我们

觉得内容不错，就点下“赞”和“在看”

如果不想错过新的内容推送，可以设为星标🌟哦