部署特权访问管理（PAM）要避免这七大坑

特权访问管理（PAM）部署并不总是成功的。在Reddit上，系统管理员们忍不住吐槽：PAM大材小用，我讨厌它；PAM成本高，实施起来很费劲；我可以说，它简直就是垃圾

译者 | 布加迪

审校 | 重楼

特权访问管理（PAM）部署并不总是成功的。在Reddit上，系统管理员们忍不住吐槽：

• PAM大材小用，我讨厌它
• PAM成本高，实施起来很费劲
• 我可以说，它简直就是垃圾

但是特权访问管理本身有问题吗？还是说这个问题更多地与它的使用方式有关？我们也看到许多公司正确部署这项技术后大获成功。

可以说，导致沮丧和挫折的根本原因是PAM部署错误。许多公司（和经销商）在将特权访问管理解决方案集成到其环境中时犯了常见的错误。不出所料，他们最终备感失望。

PAM部署挑战

特权访问管理（PAM）为组织提供了一种实用、合理而有效的方法来控制管理员及其他特权用户可以执行什么操作。PAM解决方案允许你对特权用户可以执行的操作设置限制、监视和审计其活动以及为他们进行更改设置时间限制等。

尽管PAM是一项实用的技术，却经常遇到部署问题。据最近的一项研究显示：

• 一般的IT团队只使用62%的PAM功能。
• 68%的IT管理人员称自己的PAM解决方案太复杂了。
• 56%的IT团队曾尝试部署PAM，但从未全面完成部署。

现在，PAM部署失败的原因有很多，软件开发者需要承担部分责任。并非所有PAM解决方案都易于使用。但是人们部署技术的方式以及他们对PAM的期望也是一个问题。PAM产品最常见的问题与配置错误的设置或者对产品预期的工作方式的误解有关。

为了克服特权访问管理方面的沮丧，有必要了解常见的PAM部署错误以及如何避免这些错误。

PAM案例研究

尽管存在挑战，但PAM也有很多好处，正如零售公司JYSK的Flemming Thøgersen所解释：“（如果没有特权访问管理），遵守数据保护标准和安全将更加困难……（此外）如果我们的IT人员不得不关注每个人的权限并手动升级权限，他们将极其忙碌和担忧。那肯定会是艰难的时期。”

七个常见的PAM部署错误

许多组织在部署PAM解决方案时会遇到问题。下面是七个最常见的PAM部署错误。

1. PAM规划根本没有或很有限

组织所犯的最常见的PAM部署错误之一与糟糕的规划有关。

错误：许多组织常常期望PAM是一蹴而就的安装——有点像部署防火墙或防病毒软件。然而实际情况是，PAM更像是一项不断开展的工作。在整个组织部署往往是渐进的，需要逐渐调整策略，还需要调优访问控制。

后果：特权访问管理解决方案常常需要分阶段部署。管理员也许能够绕过PAM，某些类型的业务技术（比如基于云的SaaS应用程序）没有完全兼顾到位。因此，你很可能继续暴露在威胁中。

如何避免这个PAM部署错误？

对你的访问控制进行广泛的协作式审计。选择符合你需求的特权访问管理软件。计划分阶段部署，经常测试，并收集反馈意见，直到PAM解决方案全面部署到所有用户组、服务和设备。

2. PAM方面没有宣传到位

许多组织犯这个错误：在实施PAM时没有让最终用户做好充分的准备，这导致强烈的沮丧感。

错误：很自然，PAM管理员希望安装这种新的安全技术，堵住安全缺口，并执行严格的访问策略。因此，他们在没有事先警告的情况下部署PAM。

后果：如果没有充分的准备，以前拥有特权访问的员工突然无法完成工作。他们有可能赶工期，或者原有的工作方式突然行不通了。员工对强制部署的PAM感到不满，试图找到规避方法，或者完全拒绝这种解决方案。

如何避免这个PAM部署错误？

将PAM视为一种协作式演练。与拥有管理权限的员工定期开会，以便：

• 找出他们有什么权限，他们需要什么权限。
• 让他们意识到即将到来的变化，并解释这些变化将如何影响他们的工作方法。

这类会议也是解释为什么会发生变化以及何时发生变化的大好机会。

3. PAM实施不全面

许多组织未能在整个环境中部署特权访问管理。这个常见的PAM部署错误可能会酿成严重的后果。

错误：PAM部署“容易见效的方面”通常有助于控制对服务器和数据库的访问。然而，许多其他类型的用户、设备和软件不包括在内。

后果：只有覆盖全部IT资产，PAM才真正有意义。你所有的云应用程序、设备、网络及其他一切都应该受到相同级别和类型的控制，不然无异于给坏人开了后门。

如何避免这个PAM部署错误？

将PAM视作一项长期计划。目标是至少派一名员工，专门负责在整个IT环境中扩大PAM的应用范围。

4. 未删除现有的管理员权限

当组织未删除现有的管理权限时，就会出现最令人惊讶、但也很常见的PAM部署错误之一。

错误：在花时间和金钱购买和安装PAM解决方案之后，许多企业允许员工继续使用先前存在的管理权限和控制机制。它们这么做的原因有很多。有时是由于员工不想改变，或者组织认为给员工时间以逐渐转变会更稳妥。

后果：如果你允许员工继续使用旧的管理权限，他们就不太可能采用新PAM的行事方式。很显然，这会让你面临各种潜在的威胁，也会在内部造成混乱和误解。

如何避免这个PAM部署错误？

虽然部署PAM应该是协作式的，但你也需要实施变更。对员工进行充分的培训，以便他们了解如何使用新技术。使用变更管理技术来确保他们符合要求。

5. 未考虑敏感的例外情况

有时在部署PAM解决方案时需要考虑到敏感的例外情况，这可能有悖于上面第4个错误。对于需要特权访问某些服务器或数据库的非人类遗留技术来说尤其如此，这种技术无法借助PAM解决方案轻松管理。

错误：由于热衷于部署PAM解决方案，管理员对访问管理采用了一种笼统的方法，却没有考虑到特殊情况和例外情况。

后果：某些类型的业务技术（特别是遗留软件）将需要访问你的服务器或数据库。但是如果你的PAM定期轮换密码，那些访问权限将很快被禁用。对于某些IT系统而言，这可能会阻止它们完成基本的工作。

如何避免这个PAM部署错误？

通常，这里的根本问题是组织没有对所有拥有管理员权限的用户进行完整的审计。IT部门可能没有考虑需要访问关键系统的非人类服务。全面分析（需要从许多不同的部门听取意见）应该有助于避免这类问题。

6. 未自动化执行PAM任务

对一些人来说，PAM技术可能感觉像是一项重复又耗时的额外性工作。

错误：在大多数使用PAM的组织中，至少会有一两个人负责管理该解决方案。遗憾的是，许多PAM任务可能是高度重复、低价值、乏味的：

• 批准请求
• 特权员工的导入和注销
• 轮换密码
• 监视大量系统上的活动

这是耗时的任务，而且通常很无聊。

后果：无聊、沮丧的系统管理员可能很快就会开始寻找新工作。此外，冗余常常导致偏离重心和人为错误。

如何避免这个PAM部署错误？

现代PAM解决方案为你提供了一系列广泛的自动化功能。这些功能将自动处理许多重复性的任务，从而节省时间和金钱，并提高员工士气。

7. 未监视和调整PAM

随着贵组织不断发生变化，访问和权限方面的策略也会随之变化。你的PAM需要适应这一点。

错误：很多时候，组织将PAM视为一种解决方案，而不是一项长期计划。即使他们设法将PAM推广到整个企业，也并未调整PAM以适应不断变化的环境。

后果：你的PAM策略可能过于严格、过于宽松，或者根本不再适合贵组织的运作方式。因此，PAM解决方案阻碍了生产力，并降低了效率。

如何避免这个PAM部署错误？

随着情况的变化，你应该调整PAM及其策略。无论是企业并购、公司成长、工作模式的变化（比如在家工作），还是网络威胁方面的变化（比如基于AI的黑客活动兴起），你都需要定期调整PAM解决方案和策略，以适应不断变化的环境。

避免PAM部署错误

组织会犯几个常见的PAM部署错误。它们常常归结为缺少明晰的规划，或者对PAM的真正含义以及应该如何使用它缺少清晰的理解。

好消息是，许多组织已经在PAM部署方面取得了真正的成功。简单来说，它需要：

• 识别特权帐户
• 识别敏感资产和数据
• 删除不必要的访问
• 实施现代PAM保护措施
• 监控、审计和重复这些流程

只有了解常见的PAM部署错误，你才可以避免特权访问管理的陷阱，并享受这项技术所能带来的好处。

原文标题：7 Privileged Access Management (PAM) deployment mistakes to avoid，作者：Livia Gyongyoși