特权用户访问管理：如何避免访问蠕变

　　好吧，让我们假设你的活动目录是简洁、中等和正确的：它包含你组织内的所有用户，并且当前他们是被许可的。这种令人高兴的状态要归功于健全的帐户管理生命周期。是否达到这点后你就可以止步不前了呢?不是。

　　虽然拥有真实反映组织内有哪些账号的活动目录，这让IT系统不断地变得更好(即使节奏缓慢)，但它还没有好到能确保这些活跃的身份只具有为完成工作所需要的特权。无论是因为他们的活动目录不支持足够细粒度化的权限，或是由于他们只有少量的职员所以必须授予许多人宽泛的访问权限，或者是因为他们有大量的职员，而人员的职位变更易于积累他们曾经拥有的所有特权——被称作访问蠕变(权限泛滥)——控制特权账户的系统访问是个极大的挑战。

　　当正确地控制访问特权以及如何使用它们时，一个关键原则是实施基于角色的访问控制(role-based access control，RBAC)。RBAC原则认为：不要直接管理用户的帐户特权。而是定义用户们履行某个特定角色需要的特权，然后为适当的用户帐户分配角色。当用户的角色发生变化时他们的访问权限也随之变化。这个方法缓解了特权蠕变问题，当某人的角色从DBA变为Unix系统管理员时，他们会失去原先工作角色需要的数据库特权，但同时获得之前不需要的OS级别的特权。

　　为了让基于角色的管理健全地运行，并且满足审计人员的需要，IT部门需要尽可能地保持角色设置简单，减少它在实际运作中要求的例外情况，并有一些“外援”来管理账户特权的使用。基本上，身份管理系统能帮助你进行基于角色的管理，并且有些在你将使用的角色集、以及你同意的例外情况最小化方面做的很好，还有更少一些能有力地帮助你追踪特权是如何被使用的，或给予你对它们进行细粒度控制的其他能力。

　　注意，当我们提到特权时是指IT人员(以及审计人员)通常所理解的，即主要是想追踪与系统、数据库以及网络管理有关的特权。这些万能钥匙被授予对严格保护数据的广泛、甚至是不受约束的访问。然而，应该指出的是，其它特权也可能引起其它业务部门的兴趣，例如能够在存有扫描纸质表格镜像的存储设备上创建、或删除文档镜像。

　　权限管理工具(又名特权帐户管理、超级用户特权管理、或是特权用户管理工具)帮助你超越账户和角色。它们超出了传统工具所能提供的支持，能帮助填补特权用户访问管理的差距，授予关于特权使用额外的可视性，给用户或系统授予访问时额外的粒度。

　　理想的特权管理(privilege management，PM)工具应该是：

　　• 比起标准的帐户特权组更加细粒度：例如，一个PM工具能授予、或限制对应用内特定组件的访问(例如，有选择性地允许或是禁止“另存为”或是“打印”);基于各种因素过滤角色所被赋予特权中的子集，包括人们从哪里登录以及最近他们做了什么;给其它非特权角色或进程赋予特定的提升特权。

　　• 能容易地与非活动目录账户协作，例如服务器和桌面系统的本地管理员账户。

　　• 不仅能管理你的活动目录里面的特权用户，还包括你关心的所有平台：包括Windows、Linux、Unix或是其它系统。管理包括变更管理，例如确保某个特权用户做出的变更不会意外地影响到其他人的工作，如某人修改服务器上好几个人需要访问的本地管理员账户的密码。

　　• 能审计特权的使用情况：例如，该特权管理工具能推动管理员反复地核查进出的访问(可能是通过一次性密码)，并追踪每次敏感的访问权限的使用，以及追踪使用共享账户的真实人员。

　　如果IT部门希望对特权账户的管理至少和身份管理一样成功，这些能力会被越来越多地看作是必备条件。

　　关于作者：

　　John Burke是Nemertes研究公司的首席研究员，他为关键企业和厂商用户提出建议，实施和分析主要的研究，并且撰写涉及各种主题的具有领先理念的文章。