特权账号的生命周期管理

4 周 ago
master@tadisi.com
1 minute

核心原则:

  1. 最小权限原则: 只授予完成工作所必需的最低权限。
  2. 职责分离: 关键操作需多人协作完成,避免单人拥有过高权限。
  3. 可审计性: 所有特权操作必须能被清晰记录、追踪和审计。
  4. 账号唯一性: 禁止共享账号,每个操作必须关联到具体责任人。
  5. 自动化与集中管理: 尽可能利用工具自动化管理流程,减少人为错误和疏漏。

特权账号管理全流程及策略:

1. 申请 (Request)

  • 流程:
    • 申请人: 需要访问特定系统或执行特定特权操作的运维人员或其主管。
    • 申请方式: 通过统一的、安全的、有审计日志的申请系统(如ITSM平台、专门的身份治理平台)提交申请。
    • 申请内容 (必须明确):
    • 申请人姓名、部门、职位。
    • 申请账号类型: 是新建个人特权账号、申请使用共享服务账号(需说明理由)、申请临时权限、还是申请现有账号权限变更?
    • 目标系统/资源: 需要访问的具体服务器、数据库、网络设备、应用系统等。
    • 请求的权限级别: 需要哪些具体权限(如:root、sudo权限、DBA权限、域管理员权限等),必须具体化(避免“管理员权限”这种模糊表述)。
    • 访问理由: 详细说明业务或运维需求(如:部署新版本、故障排查、日常维护任务等)。
    • 预计使用期限: 是永久权限(需充分理由)、临时权限(明确起止日期/时间)、还是单次使用?
    • 直接经理初审意见。
  • 策略:
    • 强制申请: 禁止任何形式的“口头授权”或绕过流程的权限获取。
    • 权限细化: 申请系统应提供权限选项菜单,支持细粒度权限申请,避免申请“全能”权限。
    • 业务合理性审查: 申请人需清晰阐述权限与工作职责的关联性。
    • 临时权限限制: 严格限制临时权限的范围和时长,默认应尽可能短。
    • 服务账号申请: 申请使用共享服务账号必须提供充分的、不可替代的理由(如应用服务运行所需),并指定唯一的责任人进行管理。

2. 审批 (Approval)

  • 流程:
    • 多级审批:
    • 一级审批: 申请人直接经理(确认工作必要性)。
    • 二级审批: 目标系统/资源的负责人(确认权限请求的合理性、是否最小化)。
    • 三级审批 (关键/高危权限): 安全团队(评估安全风险、是否符合策略)或更高级别管理者。
    • 审批依据: 基于最小权限原则、职责分离原则、申请理由的充分性进行审核。
    • 审批结果: 明确批准、拒绝(说明理由)或要求修改申请(如缩小权限范围、缩短期限)。
    • 审计记录: 审批过程、结果、审批人、审批时间必须完整记录在申请系统中。
  • 策略:
    • 强制审批链: 审批流程不可跳过或合并。
    • 职责分离: 审批人不能是申请人本人或其下属(利益冲突)。
    • 关键权限双重审批: 对于最高权限(如root、域管),应要求至少两名不同角色的审批人(如技术经理+安全官)。
    • 时效性: 设定审批时限要求,避免影响工作。
    • 定期权限审查报告: 审批人应定期收到其审批过的权限使用情况报告。

3. 分发/配置 (Provisioning)

  • 流程:
    • 自动化配置: 审批通过后,通过自动化工具(如PAM系统、配置管理工具、AD组策略)或受控的脚本进行账号创建或权限配置。
    • 账号创建:
    • 对于个人账号:创建唯一的、与个人身份绑定的账号。
    • 对于服务账号:创建唯一的、描述清晰的账号,指定唯一责任人。
    • 权限分配: 严格按照审批结果分配权限。
    • 初始密码/凭据:
    • 生成强随机密码(长度、复杂度符合策略)。
    • 安全传递: 通过安全的、加密的通道(如PAM系统的保险库、一次性安全链接)将初始凭据传递给申请人或其指定责任人(服务账号)。绝对禁止明文邮件、IM发送。
    • 强制首次登录改密: 系统应强制用户在首次登录时更改初始密码(如果使用密码)。
  • 策略:
    • 禁用默认账号: 系统安装后立即禁用或重命名默认特权账号(如root, administrator)。
    • 强密码策略:
    • 长度(>=16位)、复杂度(大小写字母、数字、特殊字符组合)。
    • 禁止使用常见弱密码、字典词、个人信息。
    • 定期强制更换(如90天,高危账号可更短)。
    • 密码历史记录(禁止重用最近N次密码)。
    • 凭据安全存储:
    • 所有特权账号密码/密钥必须存储在安全的、集中管理的凭据保险库中(如PAM解决方案),避免本地存储或文档记录。
    • 访问保险库本身需要强认证和权限控制。
    • 多因素认证: 强制执行! 所有特权账号登录目标系统必须启用MFA(如硬件令牌、手机认证器、生物识别)。
    • 堡垒机/跳板机: 强制所有运维人员通过配置了严格审计和访问控制的堡垒机(Jump Server)访问生产环境,禁止直接访问。堡垒机本身需高安全加固。

4. 使用 (Usage)

  • 流程:
    • 身份绑定: 用户使用个人账号登录堡垒机或PAM系统。
    • 凭据获取:
    • 检查权限: 系统验证用户是否有权访问目标账号。
    • 凭据提取: 用户通过PAM系统“申请使用”目标特权账号。PAM系统从保险库安全提取凭据。
    • 凭据传递: PAM系统自动将凭据注入到目标会话中(理想),或在严密监控下短暂显示(需二次确认,且自动定时轮换)。
    • 执行操作: 用户在目标系统执行授权操作。
    • 会话监控与审计: 所有特权会话(包括命令、输入、输出、屏幕录像)被堡垒机或PAM系统完整记录。
    • 操作结束: 用户登出,会话结束。PAM系统确保凭据被安全回收或轮换。
  • 策略:
    • 禁止共享: 严格禁止多人共享同一特权账号凭据。
    • 禁止明文密码: 用户在任何情况下不得知晓或记录特权账号的明文密码(尤其服务账号)。
    • 会话超时: 设置较短的不活动会话超时时间(如10-15分钟),自动断开连接。
    • 命令限制: 在可能的情况下,使用sudo等机制限制可执行的命令列表(命令白名单)。
    • 实时监控与告警: 对高风险操作(如rm -rf *, grant all, shutdown)进行实时监控和告警。
    • 操作记录: 所有命令历史、文件传输、登录登出事件必须记录到集中日志系统(SIEM)。
    • 定期权限审阅: 定期(如每季度)审阅所有特权账号的权限分配和使用情况,确认是否仍为必要。责任人需确认。
    • 最小化使用窗口: 临时权限到期自动失效;长期权限在非工作时间可考虑自动禁用(需权衡便利性)。

5. 过期 (Expiration)

  • 流程:
    • 临时权限: 在申请时设定的到期日/时间点自动失效。系统自动收回权限。
    • 长期权限: 设置一个较长的有效期(如1年),到期前自动触发重新审阅流程(见“回收”部分)。
    • 通知: 在权限到期前一段时间(如7天、3天、1天),自动通知账号使用者/责任人和其经理。
  • 策略:
    • 默认过期: 所有特权账号(包括服务账号)必须设置有效期或强制审阅周期。
    • 临时账号短生命周期: 临时特权账号默认有效期不超过所需时间(通常几天到几周),最长不超过3个月。
    • 服务账号审阅: 服务账号也应设置有效期(如1年),到期前由责任人申请续期并说明理由。

6. 回收 (Reclamation/De-provisioning)

  • 流程:
    • 触发条件:
    • 权限到期未续期(临时/长期)。
    • 员工离职、调岗或职责变更不再需要该权限。
    • 定期审阅(如每季度)中发现权限不再必要或存在风险。
    • 安全事件调查后要求撤销。
    • 自动化回收: 通过自动化工具立即禁用账号或移除其特权权限组。
    • 离职/调岗:HR系统触发,联动身份管理系统和PAM系统自动禁用/删除账号和权限。
    • 到期/审阅未通过:审批系统或PAM系统触发自动化回收。
    • 确认: 系统发送回收确认通知给原使用者/责任人、其经理和安全团队。
    • 服务账号处理: 回收前,需确认该服务账号是否仍被应用或服务使用。如有必要,需协调更换凭据。
    • 凭据更新: 账号禁用/权限移除后,PAM系统应立即轮换该账号的密码/密钥。
  • 策略:
    • 即时回收: 对于离职、调岗或安全事件,权限必须立即回收(最好在HR流程启动时自动触发)。
    • 定期清理: 定期扫描并清理长期未使用(如90天或180天无登录)的特权账号。
    • 彻底删除: 对于确定不再需要的账号(如离职员工),在符合审计要求的时间后,考虑彻底删除账号(需谨慎评估对历史审计的影响)。
    • 审计追踪: 账号回收操作必须详细记录(谁、何时、回收了哪个账号/权限)。
    • 资产清单联动: 权限回收应与CMDB(配置管理数据库)或资产清单联动,确保资产责任人信息准确。

支撑技术与工具:

  • 特权访问管理解决方案: 这是核心工具(如 CyberArk, Thycotic Secret Server, BeyondTrust Password Safe, Delinea Secret Server, HashiCorp Vault)。提供保险库、凭据自动轮换、会话管理、审计、审批集成等功能。
  • 堡垒机/跳板机: 集中访问控制、会话审计、命令拦截。
  • 身份与访问管理: 提供基础的身份生命周期管理、认证、目录服务(如 Active Directory, LDAP, Azure AD)。
  • IT服务管理平台: 流程化申请、审批、记录(如 ServiceNow, Jira Service Desk)。
  • 安全信息与事件管理: 集中日志收集、分析、异常检测、告警。
  • 配置管理数据库: 记录资产及其关联的账号信息。
  • 自动化脚本/编排工具: 用于自动化账号创建、权限分配、回收任务。

关键管理策略与制度:

  • 正式的安全策略文档: 明确规定特权账号管理的政策、流程、责任和违规后果。
  • 安全意识培训: 对所有运维人员和相关管理者进行定期的特权账号安全培训。
  • 定期审计与报告: 内部或第三方定期审计特权账号管理流程的执行情况和有效性。生成特权账号清单、权限分配报告、使用报告、审计报告。
  • 违规处理: 明确违反特权账号管理规定的处罚措施。
  • 持续改进: 根据审计结果、安全事件和技术发展,持续优化流程和策略。

实施要点:

  1. 高层支持: 获得管理层的理解和资源支持至关重要。
  2. 分阶段实施: 从最关键的系统和高危账号开始,逐步推广。
  3. 沟通与培训: 充分沟通变革的必要性和流程,提供充足培训。
  4. 技术与流程并重: 工具是赋能者,但清晰的流程和严格的管理制度是基础。
  5. 持续监控与优化: 特权账号管理是一个持续的过程,需要定期检查、调整和优化。