揭開特權使用者管理相關產品的神祕面紗

在目前的IT環境中，對於登入帳號與系統存取權限管控，大多只針對一般個人使用者，例如執行固定工作事項的企業內部員工，但從整體來看，身分管理機制所要涵蓋的對象，同時包括那些被賦予更高存取權限的特殊使用者，像是IT部門的系統管理者、網管、資料庫管理者、應用程式開發人員，以及IT系統與設備中預設的管理者共用帳號，還有應用程式本身執行時的專用存取帳號。

簡而言之，使用者帳號可依照所配置到的存取權限大小差異，區分為特權使用者和一般使用者，而且多數系統都著重針對後者監控，相較之下，反而對前者的管理措施顯得很薄弱。但獲得的存取權限越大，這些使用者對於系統所擁有的控制能力也越大，一般來說，若他們對企業有不法意圖，所造成的傷害程度之大，將遠遠超過其他權限相對較低的使用者。其實，這樣的觀念和考量不是新鮮事，近年來推出的IT系統已經逐漸納入功能設計之中，但在更早之前開發的各種作業系統與應用系統上，往往對系統管理者的任何作為，幾乎都是絕對的信受奉行，雖然它們普遍內建各種事件記錄機制，但大多是為了協助診斷系統運作問題而存在，對「監守自盜」的可能性並無太多設防，甚至有時為了效能考量而停用（例如關聯式資料庫）。

特權使用者管理 vs. 身分存取管理

為了因應這樣缺乏監督、控管的狀況，市面上已有不少廠商推出相關的資安產品，而就類型而言，它們可統稱為特權使用者管理或高權限使用者管理的系統（Privileged User Management，PUM），但實際上，各家廠商對此又有不同稱呼，像是特權身分管理（Privileged Identity Management，PIM）、特權帳號管理（Privileged Account Management，PAM）或特權存取管理（Privileged Access Management，PAM）。

也許你會覺得疑惑，要滿足上述這些管理需求，理論上應該在IT界所熟悉的身分管理（Identity Management，IDM），或所謂的身分存取管理（Identity and Access Management，IAM）系統中提供，像是目錄服務，如Active Directory（AD）、LDAP，或是單一登入整合（Single Sign-on，SSO）。但實際上，這些控管機制雖然可以粗略界定出特權使用者的身分，是異於一般使用者，但多半無法明確要求權責畫分、進一步約束特權濫用。

PAM之所以無法提供更多的PIM/PUM功能，有人認為，身分存取管理所控制的層級主要是個別使用者的身分，特權使用者帳號卻是與各種IT軟硬體資產配置有關，所以前者並不能完全涵蓋後者。

特權使用者管理技術的三大應用類型

由於特權使用者管理的確有別於身分存取管理，原本我們以為市面上可選擇的產品很有限，但經過比較仔細的研究和調查，出乎意料地，我們發現許多廠商旗下都有相關的解決方案。

例如，有些公司的產品可對應到大部分特權使用者管理領域的應用，像是Xceedium、CyberARK、Centrify，也有大型系統與應用軟體商，如IBM、Oracle、CA、Dell已經在這部分應用有所布局。

另外，有些產品偏重在所有使用者的監控稽核，監督範圍也包括了特權使用者帳號的種種活動，但各家廠商發展路線上差異較大。例如ObserveIT是專門做使用者螢幕畫面側錄，而Varonis則是針對電子郵件伺服器、檔案伺服器這兩大環境做檔案存取稽核。

一些原本推出資料庫活動監控（Database Activity Monitoring，DAM）產品的資安廠商，也針對特權使用者帳號管理的需求，推出具有限制存取功能的獨立系統，庫柏osAegis就是典型的例子；也有廠商原本的產品是資料庫活動監控，後來也將功能延伸到使用者存取系統的活動監控，例如CPS推出的Ultimate Auditor。

能因應特權使用者管理需求的產品既然如此眾多，但傷腦筋的是，它們各自涵蓋的功能多寡、支援政策控管的精細度、應用架構，以及可支援的使用規模都有不小的差異。

面對特權使用者管理的產品，究竟該怎麼分門別類？比較過各式各樣的說法，我們認為維基百科上在「Privileged Identity Management」詞條解釋中的細分方式，似乎看來比較合理，當中分為帳號提供與生命周期管理、身分認證、授權、密碼管理、稽核、存取控管、連線操作歷程的記錄和連線操作的隔離。

不過就實際產品而言，它們往往兼具上述類別中的好幾種功能，因此我們決定進一步歸納，只看下列這三大類產品：特權帳號密碼存取管理（PAM）、系統操作歷程側錄（Session Recording），以及存取稽核（Auditing）。

這只是就功能性質來看的分法，從產品形式和運作架構來說，這些產品之間又有許多不同的作法。以產品形式來看，絕大多數特權使用者管理的產品都是軟體，少數廠商推出專屬硬體設備，例如Dell的Total Privileged Access Management（TPAM）、CPS的Ultimate Auditor都很典型，而Xceedium Xsuite則不只有硬體設備的產品形態，連虛擬設備、AMI映像檔也都提供。

再從監控的運作架構來看，我們還可依照是否部署代理程式到被監控端，區隔產品之間的差異。以無需部署代理程式的PIM產品來說，大多都是透過集中式的網站入口（Portal）來管控使用者的帳號存取，只有CPS Ultimate Auditor是用封包側錄分析使用者網路行為。

特權帳號密碼存取管理產品

特權帳號密碼存取管理產品可說是最典型的PIM應用，運作上，都不需要將代理程式部署到被監控的個人電腦與伺服器上，而且絕大多數透過集中式的網站入口來管控使用者帳號登入。

這樣的系統由於牽涉到使用者密碼的管理（甚至派發），因此大部分會使用密碼庫來保管密碼，並加密這個儲存區（多數都用AES 256加密，有的產品還可搭配硬體加密設備），此外，這些產品所採用的密碼庫，大多都已通過FIPS 140-2 Level 2認證（加密模組的業界標準）。

而且，它們還會同時提供其他密碼管理機制，像是動態密碼（One-Time Password）、定期自動更改密碼、追蹤密碼是否依政策修改、密碼簽入∕簽出（passwords check-in/check-out）等。

在帳號與權限控管上，特權帳號密碼存取管理產品也內建了政策控管、申請存取流程審核。此外，由於IT環境存取需求和使用者職務，都可能有所異動，而未及時套用到身分管理系統上，因此這些產品大多內建了盤點使用者帳號與權限的機制。

CyberARK

若純粹以我們列出的種種規格而論，最吸引我們的是由力悅科技代理的CyberArk Privileged Identity Management（PIM） Suite，因為操作使用介面上支援多國語言，同時正體中文也在支援之列，而且功能相當豐富。例如，PIM Suite可支援分散式元件建置的架構，並能建置叢集式的運作環境，達到高可靠度的要求，也支援建立異地災難備援的執行環境，使用規模的延展性相當高。

PIM Suite在設定自動變更密碼功能時，所支援的企業IT設備類型相當廣泛，不單是作業系統、目錄服務、資料庫，同時涵蓋到應用程式伺服器、網站應用、網路設備、資安設備，也包括系統遠端監控和通用的資料存取介面，可以說應有盡有。

單就身分存取管理可整合的環境而言，這套系統支援RADIUS帳號認證、PKI架構，同時涵蓋到RSA和Vasco動態密碼，以及Oracle的單一登入整合系統；它的帳號權限盤點功能，也特別支援VMware ESX/ESXi虛擬化環境。

在統計報表功能上，PIM Suite也內建20種主題，並提供約400個欄位可自行定義內容。

對於應用程式碼嵌入存取其他應用系統帳密（應用程式對應用程式，A2A）的狀況，PIM Suite可支援更多Java應用程式伺服器平臺存取的資料來源設定，像是WebSphere、WebLogic、Jboss和Tomcat；若是牽涉到Windows系統登錄檔、資料庫欄位和設定檔的處理，它也可支援。PIM Suite也提供可因應更多系統整合需求的軟體開發套件（SDK），可支援ActiveX、CLI、.NET和RESTful形式的處理。

Xceedium

由商丞科技代理的Xceedium Xsuite，在應用的產品形式和可監督的環境類型，都相當特別。

這套PIM產品有三種使用形式：硬體設備、可運作在VMware虛擬化環境的虛擬設備OVF映像檔，以及專供Amazon Web Services雲端服務使用的AMI映像檔。

在市面上所有特權使用者管理產品中，Xsuite除了跟其他產品一樣，已經通過FIPS 140-2 Level 2的密碼模組驗證之外，也特別強調整機通過EAL4+等級的共同準則（Common Criteria）認證，並入選至美國國防部統一功能獲准產品清單（UC APL）。

至於可監督的環境上，Xsuite不單可針對傳統資料中心的Windows、Unix、Linux及大型主機（但大型主機的遠端連線監控為選購功能）、虛擬化資料中心（可監督到vCenter Server的層級），也可涵蓋到雲端環境，例如Amazon公有雲（AWS管理主控臺），以及微軟SaaS軟體服務（Office 365主控臺）等，都能延伸過去，以便統一納入Xsuite控管政策的施行範圍內。

在Xsuite保護下，使用者可進行連線密碼的申請，通過主管審核後，即可遠端登入授權連線的區域內，這段期間的活動都會被記錄下來，包括所下的指令、在圖形化視窗操作的歷程，並且可設定禁止檔案傳輸到其他地方，以及限制連線至授權連線之外的區域，預防有心人士或惡意程式趁機連至（進而侵入）內網其他電腦與伺服器。

Dell

Dell在2012年併購Quest後，由於Quest原本就有可針對特權使用者管理需求的相關產品，於是Dell也開始進軍這樣的應用。以特權帳號密碼存取管理的應用來說，Dell主要是透過Privileged Password Manager來因應，相較於其他同類型產品，Dell產品具備的控管功能與環境支援性也算是相當完備，像是使用AES 256加密的密碼庫、申請密碼的流程審核、帳號權限盤點，也支援足夠的程式語言類型，可解決密碼寫死在程式碼的狀況。

特別的部分在於，它是以硬體設備的形式建置，整合在Total Privileged Access Management（TPAM）Suite的平臺上，可同時管理的使用者帳號號稱達到25萬組以上，而且這些設備內建網路防火牆功能，搭配的本機儲存空間也套用全硬碟加密機制。

以基本功能配備來說，TPAM Suite分成兩種類型，專門針對特權使用者管理的稱為Privileged Password Management，除了針對特權使用者帳號密碼的管理，也包含了應用程式密碼的管理。

Oracle

在尋找特權使用者管理產品時，很意外地，我們發現以資料庫、Java、ERP等商業軟體應用聞名的Oracle，居然有相關解決方案，也就是Oracle Privileged Account Manager（OPAM），它隸屬於Identity Governance Suite大型身分治理套裝軟體，可在共用帳號的環境集中管理特權使用者帳號密碼，並提供豐富的稽核軌跡記錄，確保敏感系統的安全性與法規遵循度。所謂的共用帳號是指Unix和Linux作業系統下的root帳號、Oracle資料庫的SYSDBA和LDAP的管理者帳號。

OPAM本身是密碼庫伺服器，能夠針對存取某些系統資源的特權使用者，來產生與管理對應的密碼，它是一支執行在WebLogic Server上的Oracle Fusion Middleware應用程式，當中採用了Oracle Platform Security Services（OPSS）的框架，以及Oracle資料庫作為後端儲存資料之處（OPAM也可以執行在IBM WebSphere的應用程式伺服器環境下）。

其中，OPSS框架的政策儲存區，主要保管中繼資料和功能的授權，另一個OPSS Trust Service則是透過管理介面的操作，讓某一臺OPAM管理介面的特權身分，也能讓其他臺OPAM來認證與產生。

要管理系統上的特權帳號，首先要有辦法存取其中的資料，OPAM用的是 Identity Connector Framework（ICF）框架所提供的幾種連接器，來存取Unix伺服器、LDAP目錄服務和Oracle資料庫，可用來探查、更新這些系統上的特權帳號，而有了ICF，OPAM也就能做到自動變更密碼的功能。另一個關鍵技術稱為Oracle Wallet，可管理公鑰的安全性。

此外，OPAM還可延伸至身分治理的應用議題上，而這需要整合另外Oracle兩套身分管理產品：Identity Management和Identity Analytics。若需要稽核報表，OPAM還可搭配Oralce的BI Publisher報表平臺，來自定稽核報表。

值得一提的是，Oracle Identity Governance Suite上市的時間並不久，推出至今才一年多，雖然部分支援規格項目不如其他產品，例如目前沒有可整合的SIEM（資安事件管理）系統，但這套解決方案竟已支援正體中文的使用介面，超越許多發展時間較久的同類產品。

CA

若要因應特權帳號密碼存取管理的需求，CA所能提供的產品是ControlMinder，尤其當中包含的Shared Account Management，更是針對這方面應用的模組。

它的運作架構跟其他同類產品相同，都是透過網站入口與密碼庫的方式來集中控管使用者登入，可用來控制共用使用者帳戶的權限存取，也有自動登入密碼的方式，防止真正的密碼被外洩出去。若要臨時取得密碼，這裡的入口網站也提供申請、審核的機制。

對於應用程式裡面將特權帳號寫死的狀況，Shared Account Management模組也支援Java、.NET程式語言，以及JDBC、ODBC、OLE DB等資料庫存取方式來處理。

除了共用帳號管理之外，ControlMinder還包含三種管控模組：Unix Authentication Bridging、Fine-Grained Access Controls與User Activity Reporting。

針對Unix、Linux環境的集中控管，以及整合Windows AD使用者帳號，是由Unix Authentication Bridging模組來提供。

另一個Fine-Grained Access Controls模組則是針對權限提供細部控制，做到更清楚的權責畫分，以及提供檔案存取控管與完整性保護、網路控管，並可整合上述的共用帳號管理模組。

至於狀態與法規遵循程度的統計報表檢視、存取記錄的集中管理與，則由User Activity Reporting模組提供。

IBM

對IBM而言，特權使用者管理相關的產品，主要是Security Privileged Identity Manager（SPIM），可針對特權帳號的使用，提供防護、追蹤與自動化處理，並且能搭配IBM其他兩套身分管理的產品──Security Identity Manager和Security Access Manager for Enterprise Single Sign-On，提供特權帳號密碼產生的機制，並可強制執行高強度的密碼管理政策。

跟其他同類產品一樣，IBM SPIM本身也內建加密的身分儲存庫（密碼庫），以及共同的特權使用者網站入口，能控制共用帳號密碼的簽出與簽入，同時有自動登入密碼功能，而隱藏真正的登入密碼不讓使用者知道，另外它也有密碼更新功能，可在有人使用密碼後，將使用的密碼簽入，確保這些密碼不能在目前的身分管理架構之外使用。

Centrify

多數特權帳號密碼存取管理產品的功能，都是與帳號、密碼的處理有關，幾乎都內建密碼儲存庫，而且各家可支援的身分認證機制，至少都能同時涵蓋到Active Directory和LDAP這兩大目錄服務，但也有廠商採取和其他家不同的作法，例如，Centrify的Server Suite標準版就是純粹以Active Directory環境搭配部署到被監控的代理程式，來提供特權使用者帳號集中控管的功能。

而且，Centrify並不是透過網站入口集中控管，搭配密碼庫的架構來達到目的，管理者操作相關設定時，也是全部透過Windows Server的「Active Directory 使用者和電腦」嵌入式管理單元來進行，而不是從網頁介面。

而能提供這些功能的Centrify Server Suite標準版，本身可細分多種產品，像是DirectManage、DirectControl、DirectAuthorize，整體上能涵蓋的作業系統類型也相當廣，用這些異質作業環境的電腦∕伺服器的使用者帳號，也能同時整合到Active Directory環境下。

不過，仔細比一比，這些產品可支援的作業系統平臺並非完全一致。例如前兩種產品皆支援MacOS X、Unix、Linux，以及VMware ESX/vSphere、XenServer虛擬化平臺，若採用DirectAuthorize時，會連同Windows一起支援。

CPS

有別於其他多數特權帳號密碼存取管理產品，CPS的Ultimate Auditor建置架構，和上述所有產品大異其趣。它本身是一臺硬體設備，先用Port Mirror的方式架設在內網，再透過持續擷取與分析網路封包，來管理使用者存取資料庫和系統的行為，然而，這套產品也同時提供強化的身分認證與存取授權機制。

以驗證登入帳號身分來說，在使用者登入既有系統之前，透過CPS的設備的防護，會增加一道驗證身分的關卡，這裡支援的確認方式，包括輸入帳號密碼，以及USB Token硬體式憑證、軟體憑證（Certificate Authority，CA），同時，CPS設備還可比對連線者電腦所在的IP位址、子網路，確認是否合乎管理者的規範。

在存取授權的管制上，CPS可根據設定使用者帳號、通訊協定、主機、時段、遠端存取者的來源IP位址，以及身分認證等方式，來定義不同使用者登入系統時所取得的權限。同時，還可搭配使用者角色、存取規則的應用，做到政策控管。

此外，針對異常的系統存取行為，CPS的設備也是這類型產品中，少數具有即時阻斷連線機制（TCP Reset）、警示發出的解決方案。

系統操作歷程側錄

特權使用者的控管上，除了從帳號∕密碼、存取權限的角度來進行有限度的開放， 如何進一步做好使用者操作歷程的稽核，也是許多單位想要擁有的防護機制。

許多人會先想到的方法是，直接去檢視系統所儲存的事件記錄，或透過資安事件管理（SIEM）產品的事件記錄整合與分析能力，但這麼做，只能看到系統接收到使用者執行各種動作後的結果，無法更徹底掌握使用者真正在系統操作過程到底發生什麼事，於是，市面上也開始出現相關產品，強調能夠完整呈現系統操作歷程，我們稱之為系統操作歷程側錄。

若能側錄系統操作歷程，有什麼好處？企業可以監督與查核使用者操作應用系統時的活動，例如進行金融交易買賣與存取醫療資訊系統的病患資料時，都可藉此稽核機制，確保遵循法規與安全稽核。對IT人員來說，這項技術能夠重現使用者操作系統時發生的狀況，因此也可用於協助識別問題根源，進而更快解決問題，提高升技術支援品質。

就運作架構來說，我們根據代理程式的部署與否，將這類產品分為兩大類：一種是在需要受監控的電腦、伺服器安裝代理程式（Agent-based），另一種則是無需安裝代理程式（Agentless）即可納入管理。而後者又可細分為：透過集中式網站入口管控，以及封包側錄分析使用者網路行為。

基於代理程式的側錄產品
需透過安裝代理程式達到監控目的的產品中，ObserveIT能見度算是頗高，除了該公司本身推出的軟體之外，像是CA的Session Recording，也是源自同樣的產品技術。在側錄的方式上，這兩款軟體都會在使用者有任何操作的舉動時，裝在電腦上的代理程式才進行錄製，而且它們不單是錄使用操作系統的畫面，同時會將使用者執行的應用程式視窗標題資訊、指令，存成中繼資料（metadata），方便事後以關鍵字或輸入相關條件查詢。

以ObserveIT企業版來說，本身已包含針對多種作業環境的稽核機制，像是Windows Server遠端桌面連線，以及遠端或本機登入Unix系統，都可以納入側錄監控，它也有模組能夠側錄Citrix應用程式虛擬化軟體XenApp和桌面虛擬化軟體XenDesktop等環境，同時，對於需透過閘道架構作為跳板，進而連入內網的環境，以及企業使用者在本機電腦或VDI環境作業時，這個版本也都分別有專門的閘道和桌面功能模組來監控。

同樣透過部署代理程式來側錄操作系統歷程的產品，還有Centrify的DirectAudit，建置上除了代理程式要安裝在受監控的Windows、Unix和Linux系統上，還需要搭配負責收集處理監控資料的程式（Collector）、儲存稽核資料的專區（Audit Store）、提供稽核服務的伺服器（Audit Server）與管理主控臺（Console），架構上相當具有延展性，這些元件幾乎都可設立多個同時運作，以便分散負載。

在這類型架構產品當中，我們想順便提一下Citrix XenApp的SmartAuditor，雖然它不像上述產品同時支援多種作業系統平臺，但也是透過代理程式安裝在XenApp、Windows Server伺服器的方式，來錄製操作畫面。

XenApp之前的名稱是MetaFrame Server，以及Presentation Server，現在被Citrix定位為應用程式虛擬化的產品。而SmartAuditor這個功能，是從Presentation Server 4.5 with Feature Pack 1這一版推出後才加入的，當用戶連線至XenApp環境內操作公司允許執行的應用系統時，它可以側錄整個過程、並予以分類、歸檔，之後這些影像可以取回、播放。

同樣需透過安裝代理程式來側錄使用者操作歷程的解決方案中，有一款產品的作法相當特殊，它是庫柏的osAegis。這產品本身並不側錄使用者操作系統過程中的「畫面」，而是全程記錄他們所執行的指令，當中也將包含違反或觸發政策的記錄，庫柏認為這是軌跡管理的重點。

不需部署代理程式的側錄產品

在想要監控的電腦和伺服器上安裝代理程式，是件浩大工程，也因此有些產品退而求其次，在遠端連線至這些伺服器或設備的電腦上部署代理程式，做到操作畫面的側錄。

而有些特權使用者管理的產品基於類似的考量，同樣透過集中式網站入口管控，來側錄特權使用者的操作歷程，也就相當合情合理。像是CyberArk的Privileged Session Management Suite、Xceedium的Xsuite、Dell的Privileged Session Manager，以及IBM Security Privileged Identity Manager的選購套件Privileged Session Recorder都採取這種方式進行，而且是全程操作畫面都會錄製下來，不像多數基於代理程式架構運作的產品，通常是偵測使用者有操作的舉動才側錄。

在這類產品中，也有一款是利用封包側錄方式分析使用者網路行為，同時又能兼具重播受監控使用者操作畫面功能，相關錄影檔也可下載播放，例如上述的CPS Ultimate Auditor設備。

存取稽核產品

要監督特權使用者存取系統的功能需求上，能否更完整地稽核這些人對檔案、應用程式、網路連線存取行為，是應用上的重點，以使用者帳號管理會注重的密碼複雜度落實、登入失敗次數管制，以及自動凍結那些系統內不再有任何活動的靜止帳號，或是檔案內容的異動偵測、存取對象與執行時間限制。

上述兩大類型的產品中，其實有些已內建這樣的功能，例如CPS Ultimate Auditor、庫柏的osAegis，此外，像是Dell的ChangeAuditor本身具有檔案的異動偵測、限制存取對象與執行時間，以及漢領國際整合ObserveIT推出的工單系統OITicket，也具有檔案異動偵測與存取對象限制，因此我們也納入這類型產品。

值得一提的是，市面上還有廠商的產品是針對存取稽核與權限控管應用，並且可涵蓋到特權使用者的管理，那就是Varonis旗下的DataAdvantage、DataPrivilege，以及DataAlert。而且，這系列解決方案所保護的環境，主要是Exchange Server電子郵件系統、SharePoint入口網站，以及檔案伺服器、NAS設備等。

相當獨特之處在於，DataAdvantage可提供權限修正的建議，並能模擬權限移除後的影響，而且可檢視所有納管資料夾的機密、敏感程度（違反政策的數量）。另一套DataPrivilege不只是提供權限申請與審核機制，還可防止特定資料夾被其他有利益衝突關係的使用者存取。

特權帳號密碼存取管理產品規格簡表

特權帳號密碼存取管理產品規格簡表(續)

系統操作歷程側錄產品規格列表

系統操作歷程側錄產品規格列表(續)

存取稽核產品規格簡表