PAM\IAM\堡垒机的区别与联系
从定义上:
PAM:通过管理和监控特权帐户和访问权限,帮助组织提供对关键资产的安全特权访问,并满足合规性要求。
堡垒机:综合了核心系统运维和安全审计管控两大主干功能。
从技术实现上:
堡垒机:通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问,堡垒机的发展其中一个原因是由于传统的旁路审计设备无法审计诸如RDP,SSH等加密协议,又无法给与访问IP地址身份,导致堡垒机的技术不断演变至今,另一个原因是由于账号共用,分散,无法集中管理所引发的。
IAM:定义和管理个人网络用户的角色和访问权限,以及规定用户获得授权(或被拒绝授权)的条件。IAM系统的核心目标是为每个用户赋予一个身份,从用户登录系统到权限授予到登出系统的整个过程中,根据需要在恰当的条件下及时赋予正确的用户对企业内适当资产的访问权。该数字身份一经建立,在用户的整个“访问生命周期”存续期间都应受到良好的维护、调整与监视。
从功能实现上:
PAM与堡垒机似乎并无太大差别,两者都在宣传上都强调可以缓解数据泄露风险,但两者的侧重点是有所不同的。
侧重点方面:PAM旨在让攻击者更难访问特权账户,并让安全团队监测到异常访问的行为,要求对所有管理员或用户(包括第三方)实施强制多因素认证,需要做账号(自然人、应用、系统账号等)的细粒度分析。而堡垒机在国内大多数,强调访问控制与运维审计,旨在合规,防止误操作。
功能方面:PAM的密码管理设备(HSM),应用程序密码托管(AAPM)特权账户发现和管理,以及风险预测功能应该优于国内堡垒机,但国内堡垒机竞争激烈,为了迎合不同的客户环境与需求,在功能(包括一些小功能)数量上应该多于PAM。
IAM与PAM,前者重管理,后者重防御(运维、凭据管理等)。IAM与PAM虽然有些功能重复,比如MFA等,但两者结合起来,IAM充当管家角色,PAM充当特权治理角色,所有的管理流程由IAM定义。