implementing-privileged-access-management-with-cyberark

使用 CyberArk 实施特权访问管理

概述

部署 CyberArk 特权访问管理，对企业基础设施中的特权凭据进行发现、保管、轮换和监控。涵盖保险库架构、会话隔离、凭据轮换策略，以及与 NIST 800-53 访问控制要求的集成。

目标

• 设计具备高可用性的 CyberArk 保险库架构
• 实现特权凭据的自动化发现和纳管
• 为不同账户类型配置凭据轮换策略
• 部署特权会话管理器（PSM）以实现会话隔离和录制
• 将 CyberArk 与 SIEM 集成以进行特权访问监控
• 实施即时（JIT）特权访问工作流

关键概念

CyberArk 架构组件

1. 数字保险库（Digital Vault）：采用 FIPS 140-2 验证加密的凭据存储
2. 中央策略管理器（CPM）：自动化密码轮换和验证
3. 特权会话管理器（PSM）：会话隔离、录制和击键日志
4. 密码保险库 Web 访问（PVWA）：凭据管理的 Web 界面
5. 特权威胁分析（PTA）：特权账户的行为分析
6. Conjur Secrets Manager：应用身份和密钥管理

保险库安全模型

• 主策略（Master Policy）：全局安全设置（双重控制、独占访问、一次性密码）
• 保险箱（Safes）：具有细粒度权限的凭据逻辑容器
• 平台（Platforms）：定义轮换、验证和对账的配置档案
• 账户组（Account Groups）：关联共享轮换依赖关系的账户

凭据生命周期

1. 发现：扫描基础设施中的特权账户
2. 纳管：将账户导入保险库并分配平台
3. 轮换：按策略计划自动更改密码
4. 验证：定期验证保管凭据是否有效
5. 对账：当保险库与目标不同步时重新同步凭据
6. 下线：移除不再需要的账户

实施步骤

第 1 步：保险库架构设计

1. 在安全网络区域部署主保险库服务器
2. 配置保险库高可用性（含 DR 保险库）
3. 加固保险库服务器操作系统（移除不必要服务、禁用 RDP）
4. 配置防火墙规则（仅允许授权组件访问 1858 端口）
5. 设置加密备份

第 2 步：保险箱和策略配置

1. 按业务部门创建保险箱层次结构
2. 按最小权限原则定义保险箱成员角色：
   • 保险箱管理员：管理保险箱成员资格
   • 凭据管理员：添加/修改账户
   • 审计员：仅查看审计日志
   • 用户：检索/使用凭据
3. 配置主策略设置：
   • 凭据检索需要双重控制
   • 启用独占访问（同一时间每个凭据只允许一个用户）
   • 为敏感账户设置一次性密码模式

第 3 步：平台配置

• Windows 域管理员：每 24 小时轮换，每 4 小时验证
• Linux Root：每 72 小时轮换，含 SSH 密钥轮换
• 数据库管理员（Oracle、SQL Server）：每 24 小时轮换
• 网络设备：每 7 天轮换
• 服务账户：按计划轮换，需管理依赖关系
• 云 IAM 密钥：每 90 天轮换，采用双密钥策略

第 4 步：特权会话管理

1. 在负载均衡器后部署 PSM 服务器
2. 配置会话录制（视频、击键、命令日志）
3. 设置会话隔离（用户通过 PSM 连接，永不直接访问）
4. 为 RDP、SSH、数据库、Web 应用定义连接组件
5. 配置实时会话监控和终止能力
6. 设置会话录制保留期（合规要求最少 1 年）

第 5 步：集成与监控

1. 将 CyberArk 审计日志以 CEF/Syslog 格式转发至 SIEM
2. 配置 PTA 行为分析：
   • 检测凭据盗窃指标
   • 对可疑特权会话活动发出告警
   • 监控未纳管的特权账户使用情况
3. 与工单系统集成以实现访问请求工作流
4. 设置轮换失败、验证失败、策略违规告警

安全控制

控制项	NIST 800-53	描述
特权访问	AC-6(7)	特权账户控制
凭据管理	IA-5	自动化凭据轮换
会话录制	AU-14	会话审计能力
访问执行	AC-3	保险库强制访问策略
职责分离	AC-5	敏感操作的双重控制

常见误区

• 未配置对账账户导致轮换后锁定
• 为有依赖关系的服务账户设置过于激进的轮换计划
• 未在生产部署前测试 PSM 连接组件
• 未为保险库不可用情况建立紧急访问程序
• 忽略网络设备凭据管理

验证清单

• 保险库仅可从授权组件访问
• 所有已纳管账户的凭据轮换成功
• PSM 会话已录制且可检索
• 敏感凭据检出已强制执行双重控制
• SIEM 收到 CyberArk 审计事件
• 紧急访问程序已测试并记录文档
• DR 保险库故障转移测试成功