零常驻权限（ZSP）是什么？

零常驻权限（ZSP）是什么？

零常驻权限（ZSP）指的是一个IT环境中，没有为身份和帐户（无论是人还是机器）预配置任何持久、始终开启的特权访问权限。这需要消除所有常驻权限。ZSP是即时（JIT）特权访问管理（PAM）模型的期望的最终状态，对于实现真正的最少特权是必不可少的。

持续的身份验证、最少特权和消除默认的、始终开启（24/7）访问也是零信任环境和策略的核心目标。与零信任一样，ZSP要求不基于预先设定的信任条件分配任何管理或授权访问。这消除了存在具有完全访问权的超特权管理用户，因此，也消除了对网络的控制。相反，特权是为了一个单一的目的而分配的——并且尽可能短暂。这是为了最大限度地减少网络攻击面，尤其是可能被利用的特权窗口时间。

继续阅读以了解零常驻权限和JIT PAM的概述、常驻权限的风险、ZSP环境带来的网络安全效益，以及如何实现零常驻权限。

常驻特权是什么？

常驻特权是指无限制启用的用户特权，不考虑上下文。具有常驻特权的用户始终拥有特权访问权限，无论在此时刻是否需要特权访问，或者无论在任何时候。

例如，在日常运行于关键业务IT和安全资源中的角色通常具有高度特权。传统上，这些角色的设计目的是在需要时能够访问敏感环境，因此需要常驻特权。

但是，这种特权配置模型与零信任和最少特权的指导原则相冲突。现代安全最佳做法规定，用户身份只应在需要访问特定资源的确切时刻才拥有这些资源的访问权限。在当今的网络安全威胁环境中，常驻特权是一个主要的攻击向量。

常驻特权的风险是什么？

常驻特权访问和特权凭据的风险在当今几乎所有网络安全漏洞中都存在。特权通常是恶意软件执行所必需的，一旦进入环境，特权可以用于在整个网络中进行横向移动。攻击者使用特权升级来获得更高水平的访问权限，从而窃取或加密数据，或者只是为了破坏而进行破坏。

具有未经检查的特权的帐户越多，以及它们访问的时间越长，网络上存在的攻击向量就越多。由于具有常驻特权的帐户始终可以访问，因此它们代表持续的安全威胁。在发生用户遭受攻击的漏洞事件时，黑客将获得对他们的特权的访问权限。

如何找到常驻特权：

不幸的是，由于影子IT、遗留用户分组以及运营和业务用户的抵制，特权很难追踪。例如，较旧的应用程序或云部署在实施期间可能要求无限制的特权。常驻特权也常见于基于操作的user组。

拥有常驻特权的用户更有可能同时对多个资源拥有特权访问。例如，管理帐户通常具有全面的前期特权访问。这通常是一种标准的操作和入职程序，以免妨碍任何后续的支持工作流程。黑客知道这一点，热衷于攻击这些角色的用户。

供应商帐户的常驻特权也是一种常见的风险做法。许多组织对其供应商的安全卫生缺乏可见性-它们甚至可能不了解可能共享帐户的多个身份。许多组织拥有数十个（如果不是数百个）供应商需要访问，常驻特权访问带来了高风险。

什么是准时制访问模型？

准时制（JIT）特权访问管理（PAM）是一种基于特权账户的权限、工作流和适当访问策略的实时请求策略。公司使用这种策略来保护特权账户免受持续、始终开启访问的缺陷。JIT基于行为和上下文参数执行基于时间的限制。特权应该在需要合法目的的时刻才存在，一旦目的被执行、访问上下文发生变化或经过预定的时间间隔，特权应立即过期。

使用JIT访问，“特权活动”窗口的时间被缩短到了很短的时间段。而另一方面，常驻特权被无限期分发，使得这个窗口保持打开状态。

在准时制模型中，管理特权访问从24/7（常驻访问）减少到仅在需要时使用。因此，例如，在具有常驻特权的环境中，管理员通常每周拥有24小时的管理访问权限（7天x24小时），而在JIT环境中，管理员可能只有3小时的特权访问权限，或1小时，甚至只有5分钟的特权访问权限-这取决于他们的角色和需求。当你将此影响乘以其所有管理员时，它可以在特权容易受到攻击的时间内大大减少威胁窗口，从而显着提高组织的安全态势。

当零常驻特权被实现时，这意味着所有管理员访问都限制在所需的最短时间。因此，实现的ZSP策略是JIT特权管理方法最佳的可能结果。

要深入了解准时制访问如何工作以及如何有效实施，请查看《准时制特权访问管理指南》。

ZSP和JIT访问的好处

以下是消除整个IT环境中常驻特权的三项重要好处：

1、降低网络风险：大大缩短威胁窗口和攻击面，从而降低网络威胁的风险和影响，例如勒索软件、恶意软件、内部威胁等等。

2、法规遵从性：最小特权和有限的常驻特权访问是众多法规和合规框架的关键部分。

3、网络保险资格：网络保险提供商正在收紧希望获得网络攻击保险的保单持有人的网络安全能力要求。最小特权和删除管理员权限通常由网络保险公司要求。

如何减少或消除常驻特权？

大多数现代安全体系结构，尤其是遵循零信任的体系结构，都在减少或消除常驻特权。在零常驻特权战略的早期阶段，按需提供特权可能非常简单，即即时创建和删除帐户。然而，实现零常驻特权战略的目标是在特权需要的精确时刻提供特权，仅此而已。

要删除常驻特权并推动实现零信任状态，需要实施特权访问管理解决方案。一些PAM解决方案可能具有基于上下文的即时访问控制功能。然而，其他解决方案将提供许多自动化JIT工作流程的选项和能力。这些工作流程将基于策略，并可能在满足特定条件时触发访问，一旦不再需要或安全访问，立即撤销。

第一步：

消除常驻特权的第一步是确保所有特权帐户都被识别和上载。这可以通过现代PAM解决方案来实现，该解决方案应包括用于权限发现和合理化配置的先进功能（例如CIEM和ITDR）。然后，通过PAM解决方案应用最小特权访问控制，以确保仅在需要时将特权提升到受信任的应用程序和资源。理想情况下，特权永远不会实际授予用户或身份本身。目标应该是实现真正的最小特权，这意味着任何用户、应用程序、操作等都只有执行操作所需的足够的访问权限（JEA）和即时访问权限。

建立清晰且可追溯的审计跟踪，例如通过会话监控和其他工具，将使您的团队能够解读应用程序和云实例中特权的存在方式以及它们的使用方式。

实现零常驻特权是否可能？

由于日益复杂的自动化工作流程以及标准IT环境中存在多种类型的非人类和机器帐户，实现零常驻特权并不总是可能的。但是，这些帐户仍应尽可能遵守最小特权原则，并强化特权凭据管理的最佳实践，以确保这些帐户得到良好的保护。

随着PAM技术的不断成熟，组织将能够越来越接近零常驻特权的理想ZSP最终状态。请记住，组织越接近零常驻特权，攻击者在目标环境中获得立足点或推进的威胁窗口就越小。

您通往ZSP的旅程：下一步采取的措施

零常驻特权是即时PAM战略的最终目标，其中窃取凭据、数据泄露和特权滥用的风险大大降低，并且不会妨碍业务运营。这不能一蹴而就，需要开发一个智能的安全策略、协议和解决方案生态系统。

原文始发于微信公众号（张无瑕思密达）：零常驻权限（ZSP）是什么？