如何区分特权账号管理系统 PAM 和堡垒机

特权账号管理系统和堡垒机在产品定位上不同:

1. 堡垒机主要是用来解决运维安全、以及运维操作审计问题的，通常也称为“运维安全审计系统”、“运维安全网关”，确保运维人员“身份可信”、“权限可控”、“行为可审计”。堡垒机更注重的是“行为”。

2. PAM 则是用来解决用户保险柜“钥匙”安全性问题的，确保“钥匙”的安全存储、安全管理、安全使用，确保这把钥匙安全可控，能被合理、安全的使用。

两者的主要区别如下:

1.从管理对象上看：

特权账号管理系统是针对特权账号进行集中化的生命周期管理，管理的对象不但包括运维人员使用的账号也包括应用程序中内嵌的账号；

堡垒机的管理对象本质上是对数字资产的访问行为，还包括对访问会话的监控、审计等功能；

2.从管理的侧重点上看：

特权账号管理系统侧重账号控制；

堡垒机侧重访问控制；

3、从管理的目的上看：

特权账号管理系统是通过实现对特权账号的安全管理，最终保证的是数字资产的访问凭证安全可控；

堡垒机是面向运维风险的产品，实现对数字资产的安全访问，最终保证对数字资产的访问行为安全可控；

4. 特权账号管理系统可以独立使用,也可以配合堡垒机作为整体方案使用；

5. 堡垒机依赖特权账号管理来提高安全性。

总体来说，两者在产品定位、管理对象、管理侧重点和管理目的上都不相同，堡垒机主要聚焦在“运维人员使用的账号”的场景，对“应用使用的账号”无能为力。二者是一个系统的两个独立的组成部分，两者有区别但又相互联系，不能单纯的将特权账号管理系统等同于堡垒机。