PAM((Privileged Account Management,即特权账号管理),是组织信息安全体系中至关重要的一环,主要用于管理和监控具有高权限账号的用户访问权限。简单来说,PAM就像是一个“超级管理员”,专门负责管理那些拥有高权限账号(例如Root、Administrator、免密sudo账号等)用户的登录和操作行为,确保这些高权限账号的用户访问不会被滥用。
在2025年5月发布的JumpServer v4.10 LTS版本中,JumpServer真正将“PAM”与“堡垒机审计”合二为一,通过PAM模块提供一整套高效的特权账号管理功能,包括自动发现、批量推送、密码备份、账号改密、风险检测以及与第三方系统的集成。
2025年10月16日,飞致云开源技术播客火热开麦!首期内容聚焦“JumpServer的PAM功能设计”主题,受访嘉宾是JumpServer开源项目创始人及产品总监广宏伟。在本期播客中,广宏伟分享了JumpServer的PAM(特权账号管理)功能“从0到1”的设计心路和核心功能。
Q1:JumpServer在2025年5月发布了v4.10 LTS版本,我们看到在这个版本中支持了PAM功能,能跟我们聊一下当初为什么会考虑在这个版本中增加PAM功能吗?
广宏伟:JumpServer其实很早就想做PAM功能,也进行了长期的调研。在v4.10 LTS版本中支持PAM功能主要有三方面的原因:第一,我们经常收到前端用户的一些需求反馈,尤其是跨国企业对PAM功能更加在意;第二,国外没有“堡垒机”这个赛道,都是使用PAM产品,所以我们支持PAM功能也是JumpServer国际化进程中非常关键的一步;第三,目前国内企业对等保越来越重视,而等保对“账号”这块的要求也更多了,所以我们做PAM功能的决心也就更大了。
Q2:国外用户使用的PAM产品主要有哪些?在设计过程中,是否有考察其他的产品?可以分享一下JumpServer PAM功能的设计思路吗?
广宏伟:我们参考了一些国外比较知名的PAM产品,比如CyberArk和Password Manager Pro。其实PAM这个概念就是由CyberArk定义的,更加强调“最小安全、最小权限”,其产品设计的重心集中在安全方面,整体架构偏重。
而JumpServer的PAM功能主要强调的是整个账号的生命周期管理,其次才是安全管理,比如风险扫描、弱密码等。我们研究发现,Password Manager Pro的设计思路更加贴近JumpServer的技术演进路径。
在之前,JumpServer一直以来的产品思路就是“堡垒机”,资产是第一资源,更多是对资产的管理和使用。但是现在,越来越多的企业开始重视账号安全这方面的工作,甚至超过了对资产的重视程度,所以面向账号安全管理的PAM功能变得更加重要了。
大家知道,堡垒机的使用离不开账号,所以堡垒机的研发天生就具有开发PAM功能的冲动。我们完全可以围绕账号在JumpServer原有的基础上进行扩展,而且本身JumpServer就有账号管理功能。
我们并没有将PAM做成一个独立的产品,而是跟堡垒机结合起来。在设计过程中,我们把原先的“资产”作为账号的一个目标。在PAM产品中,我们将账号提升至最高优先级,形成“访问控制+特权管理”的一体化解决方案,既能发现并管理特权账号,同时也能对运维操作进行审计管控,所有操作在一套JumpServer系统内实现。
Q3:现在JumpServer PAM主要有哪些核心功能?相比其他产品,JumpServer的PAM功能在哪些方面更贴近用户的需求?
广宏伟:我们在产品设计阶段调研了多款PAM产品,最终为JumpServer的PAM功能确立了六大核心能力,分别是账号发现、账号推送、账号备份、账号改密、风险检测和应用集成。其中,账号发现和账号推送功能特别值得一提,账号发现功能可以帮助管理员自动采集资产上的所有账号信息,而账号推送功能则可以把所需账号统一推送出去,实现集中管理。
相较于CyberArk这类设计比较复杂、平台操作也不够简便的PAM产品,JumpServer的PAM功能是在堡垒机的基础上进行延伸开发的,所以大大降低了用户使用和学习PAM的成本。尤其对于国内用户来说,JumpServer的PAM功能更加易用,用户上手更快。
在功能上,JumpServer拥有强大的自动化能力(基于Ansible实现),用户能够轻松实现一些批量操作,比如账号发现和账号推送。大家知道,JumpServer把一切东西,包括Linux、Windows、交换机,甚至是数据库,都视作“资产”,所以管理员可以在这些“资产”上统一执行账号发现和账号推送,甚至是改密等操作,大幅提升了运维工作的效率。
