．案例研究：基於政策的安全性和上網管理控制

ASP.NET Core - 角色、聲明、政策

https://blog.plainid.com/5-key-features-of-policy-based-access-control

紐約州立大學舊韋斯特伯里分校（SUNY Old Westbury），有 3,000 多名學生和數百名教職員工使用大量設備。他們的首席資訊官 Marc Seybold 談論了他們的政策方法，來保護網路和控制頻寬使用

在大學環境中，網路不能有任何時間的中斷。紐約州長島分校的紐約州立大學舊韋斯特伯里分校的學生和教職員工，要求校園內外的 24-7 訪問網路。而且，當然，僅僅讓事情繼續運行是不夠的，它們也需要受到保護。

對於 SUNY Old Westbury 的 CIO Marc Seybold 來說，這是一個艱鉅的任務。他正在處理許多不同的設備，並擁有許多不同類型的使用者。他還努力讓學生在學習和下課後娛樂時，幾乎始終使用頻寬，同時仍要確保教師在上課期間，擁有所需的頻寬。

這些目標最近促使 Seybold 更改為其他模式，以保護學生、教職員工和網路本身。Seybold 向 CSO 解釋，為什麼他決定從基於代理的控制系統，切換到基於政策的學校安全和頻寬控制方法。

CSO：簡要介紹一下，在確保大學環境方面遇到的挑戰，例如紐約州立大學老韋斯特伯里分校的環境。從大學的角度來看，相對於企業而言，與眾不同的一件事是，我們擁有非常對人們，接入網路設備的控制很少。

我們不要求、我們不擁有、我們不控制學生使用的設備。學生可以將任何東西，從筆電帶到 iPad 型設備，Android（現在正在市場上買到的東西）以及智慧手機，這些手機都在嘗試與 Wi-Fi 網路關聯。因此，他們來回攜帶這些東西。

塞伯德：在我們的案例中，宿舍中大約有 1000 名學生，其餘的大約 2000 多名是通勤者。人們來回走動，其中一些機器在家中時，可能會感染惡意軟體。他們將他們帶到校園，在不知不覺中使我們處於危險之中。他們不是故意這樣做的。

他們帶著一台，正在努力完成課堂教學的機器走來走去，但是這些機器可能有一些東西，正在試圖破壞學校網路的運行。

對於一所大學，從安全性的角度來看，我們可以在外部事物和內部事物之間沒有區別。我們必須將所有設備，視為不受信任的設備。而且，這更像是典型組織會發現的嚴峻環境。

你是否有政策鼓勵人們實踐安全計算？

塞伯德：與所有組織一樣，我們也有電腦使用政策。但是我認為最適合的模擬，是當人們學習駕駛時發生事件的例子。

一般人都知道，如果他們試圖轉彎收緊，他們將有失去對汽車控制的風險，如果是 SUV，甚至有可能倒車，或者，如果他們在高速公路上高速行駛，如果他們不離開每 10 英里速度 X 倍的車長，他們將沒有足夠的距離停下來，而且如果踩剎車，他們可能會追撞某人。

那些規則，還沒有真正成為技術的社會文化問題。我認為那是那個時代，人們開始以相同的方式理解它。對於諸如開車等其他事物，已經制定了規則、度量標準和文化規範，但是人們也必須行使個人責任，因為安全氣囊和安全帶，可以保護駕駛員的工作量受到限制。我認為我們已經透過電腦技術達到了這一點。

當然，每個人都會嘗試，盡可能多地應用技術來保護它，但是如果我們沒有達到制訂社會規範的地步，那就意味著人們會意識到某些事情，正在使他們處於危險之中，該技術將永遠無法提供全部收益。

這就是我們試圖開車回家的要點，但要解決的對像是 18 至 22 歲的年輕人，他們可能會使用電腦進行危險的行為。

https://www.linkedin.com/pulse/what-policy-based-access-control-pbac-hanno-ekdahl?trk=related_artice_What%20is%20Policy%20Based%20Access%20Control%20(PBAC)%3F%20_article-card_title

社交網路的使用在多大程度上改變了你的安全計劃？

塞伯德：它傾向於集中攻擊。儘管社交媒體已成為一種非常有效的交流手段，但它也已成為惡意軟體編寫者的首選。

現在，我們有了這個巨大的目標，而不必弄清楚，如何將惡意軟體帶到不同的地方，並希望有人能登陸到頁面上。

而且由於其工作方式的一部分，是允許安裝和傳遞小型應用程式，因此，這幾乎是理想的選擇。所需要做的，就是誘使人們認為，他們將要單擊或安裝或下載的內容對他們有用，並且最終可能會附帶惡意軟體負載。

以前，我們透過垃圾郵件，垃圾郵件看到了更多的社會工程安全事件，這些事情會顯示為「嘿，這是你友好的 IT 部門。請點擊此鏈接，以重置你的密碼。」類似的東西。現在，他們不必這樣做。

https://www.exabeam.com/information-security/information-security-policy/

因此，與垃圾郵件相比，你現在看到的社交網站事件更多？

塞伯德：是的。對於如何看待網路端的 IT 安全性，它正在推動一種不同的方法。實際上，我們進行了一次失敗的嘗試，嘗試使用基於代理的方法，來處理訪問網路和安全性。

事實證明這不是很可行。當我們最初啟動它時看起來不錯，但是設備的多樣性，意味著你無法獲得所有設備的代理，學生相當抵制在他們的機器上，安裝機構安裝的軟體。它並不總是能夠正常工作，因此它創造了相當大的幫助平台情況。它驅使我們退後一步，從完全不同的方向出發。

你現在如何處理？

塞伯德：在這一點上，除非我們改變了主意，否則我們相信，從基於策略的角度來看，這樣做是更好的解決方案。

我們發現的是，如果你想出一種方法，來幫助提高使用者和應用程式，以及你的數據中心的安全性，而該方法應盡可能透明，那就是從本質上著眼於流量，並嘗試採取行為對其進行分析，並能夠對此進行綁定。

我並不是說在過去，人們會看著端口和協議，並做一些相當靜態的事情，而是從應用 app 層查看它，並將其綁定到使用者 ID。

讓我們以 YouTube 為例。

YouTube 已為許多學生所使用，並且佔用了大量頻寬。但是也需要教師在教室中展示的方式使用。如果因為 500 名公共實驗室的學生，聚集在校園周圍，並且積極地在 YouTube 上，並且使用了與教室沒有直接關係的其他社交材料，而無法使用它，該怎麼辦？

我們想要做的就是觀察流量，因為意識到這是 YouTube 流量，並將其與你知道屬於教職員工的使用者 ID 關聯起來。我們希望能夠提供對該特定流量的列印優先級訪問權限，並確保學術使用獲得通過。

另一方面，在完成此操作的同時，我們將限制用於娛樂目的的頻寬量。理想情況下，你希望能夠後退，並說我們將暫時執行此操作，因為這是在上課期間。我們關心的事實是，我們的首要任務是使教室變得可用。

但是，一旦我們在會話中沒有更多的類型，就無需再為教學使用，而對它進行優先級排序。那時沒有理由，不讓學生使用全部頻寬。

這也適用於安全性嗎？

塞伯德：相同類型的技術方法，可確保安全性。如果你可以將實際的 ID，綁定到來回的應用中，則可以將其傳遞給行為分析設備和軟體，後者將對其進行查看，並可能會意識到「你知道嗎？我通常在週一至週五的 9 到 5 基礎上看到此 ID。在過去的兩個星期中，我突然看到一個星期天下午發生的事情。」然後，行為分析系統，會將其踢回日誌警報中。

也許事實證明，有人在週末來趕上工作。但是也有可能你找到他們，他們的回答是「不，我坐在家裡」。這意味著有必要進一步跟進。我們看到，這是向前發展最可行的方法。

你通常如何與他人聯繫，讓他們知道可能存在問題？

塞伯德：通常是透過電子郵件。根據活動的惡意程度，最常見的事情，是可能導致系統試圖阻止使用者的訪問。在這種情況下，他們可以直接去有人值班的學生實驗室之一，我們在那裡擁有網路管理員和學生幫助，可以幫助你確定問題。