訪問控制是一種安全技術,它規定誰或什麼可以查看或使用計算環境中的資源。它是安全中的一個基本概念,可以最大限度地降低企業或組織的風險。
訪問控制有兩種類型:物理訪問控制和邏輯訪問控制。物理訪問控制限制對校園、建築物、房間和物理 IT 資產的訪問。邏輯訪問控制限制與計算機網絡、系統文件和數據的連接。
為了保護設施,組織使用電子訪問控制系統,這些系統依賴於用戶憑據、門禁讀卡器、審計和報告來跟踪員工對受限業務位置和專有區域(例如數據中心)的訪問。其中一些系統包含訪問控制面板以限制進入房間和建築物,以及警報和鎖定功能,以防止未經授權的訪問或操作。
訪問控制系統通過評估所需的登錄憑據(包括密碼、個人識別碼 (PIN)、生物特徵掃描、安全令牌或其他身份驗證因素)來執行用戶和實體的身份驗證和授權。多因素身份驗證 ( MFA ) 需要兩個或多個身份驗證因素,通常是保護訪問控制系統的分層防禦的重要組成部分。
為什麼訪問控制很重要?
訪問控制的目標是將未經授權訪問物理和邏輯系統的安全風險降至最低。訪問控制是安全合規計劃的基本組成部分,可確保安全技術和訪問控制策略到位,以保護機密信息,例如客戶數據。大多數組織都擁有限制訪問網絡、計算機系統、應用程序、文件和敏感數據(例如個人身份信息 (PII) 和知識產權)的基礎設施和程序。
訪問控制系統很複雜,在涉及本地系統和雲服務的動態 IT 環境中管理起來可能具有挑戰性。在發生了一些引人注目的違規事件後,技術供應商已從單點登錄 ( SSO ) 系統轉向統一訪問管理,為本地和雲環境提供訪問控制。
訪問控制的工作原理
這些安全控制通過識別個人或實體、驗證個人或應用程序的身份或聲稱的身份,以及授權與用戶名或互聯網協議 (IP) 地址相關的訪問級別和一組操作來發揮作用。目錄服務和協議,包括輕量級目錄訪問協議 (LDAP) 和安全斷言標記語言 ( SAML ),提供訪問控制,用於對用戶和實體進行身份驗證和授權,並使他們能夠連接到計算機資源,例如分佈式應用程序和 Web 服務器。
組織根據其合規性要求和他們試圖保護的信息技術 (IT) 的安全級別使用不同的訪問控制模型。
訪問控制的類型
訪問控制的主要模型如下:
- 強制訪問控制 ( MAC )。這是一種安全模型,其中訪問權限由中央機構基於多個安全級別進行管理。通常在政府和軍事環境中使用,分類被分配給系統資源和操作系統 (OS) 或安全內核。它根據用戶或設備的信息安全許可授予或拒絕對這些資源對象的訪問。例如,Security Enhanced Linux ( SELinux ) 是 MAC 在 Linux 操作系統上的實現。
- 自主訪問控制 (DAC)。這是一種訪問控制方法,其中受保護系統、數據或資源的所有者或管理員設置策略,定義誰或什麼有權訪問資源。許多這些系統使管理員能夠限制訪問權限的傳播。對 DAC 系統的普遍批評是缺乏集中控制。
- 基於角色的訪問控制( RBAC )。這是一種廣泛使用的訪問控制機制,它根據具有定義業務功能的個人或組(例如,執行級別、工程師級別 1 等)而不是單個用戶的身份來限制對計算機資源的訪問。基於角色的安全模型依賴於使用角色工程開發的角色分配、角色授權和角色權限的複雜結構來規範員工對系統的訪問。 RBAC 系統可用於強制執行 MAC 和 DAC 框架。
- 基於規則的訪問控制。這是一種安全模型,系統管理員在其中定義管理對資源對象的訪問的規則。通常,這些規則基於條件,例如一天中的時間或位置。使用某種形式的基於規則的訪問控制和 RBAC 來強制執行訪問策略和程序的情況並不少見。
- 基於屬性的訪問控制 (ABAC)。這是一種通過使用用戶、系統和環境條件的屬性評估一組規則、策略和關係來管理訪問權限的方法。
實施訪問控制
訪問控制是一個集成到組織 IT 環境中的過程。它可能涉及身份管理和訪問管理系統。這些系統提供訪問控制軟件、用戶數據庫和用於訪問控制策略、審計和實施的管理工具。
當用戶被添加到訪問管理系統時,系統管理員使用自動配置系統根據訪問控制框架、工作職責和工作流程設置權限。
最小權限的最佳實踐將訪問權限限制為僅員工執行其直接工作職能所需的資源。
訪問控制的挑戰
訪問控制的許多挑戰源於現代 IT 的高度分佈式特性。很難跟踪不斷變化的資產,因為它們在物理上和邏輯上都是分散的。一些具體的例子包括:
- 動態管理分佈式 IT 環境;
- 密碼疲勞;
- 通過一致的報告實現合規可見性;
- 集中用戶目錄並避免特定於應用程序的孤島;和
- 通過一致的報告進行數據治理和可見性。
現代訪問控制策略需要是動態的。傳統的訪問控制策略更加靜態,因為公司的大部分計算資產都保存在內部。現代 IT 環境由許多基於雲的混合實施組成,這些實施將資產分散在物理位置和各種獨特的設備上。保護本地資產的單一安全圍欄變得越來越不實用,因為資產變得更加分散。
為了確保數據安全,組織必須驗證個人的身份,因為他們使用的資產更加短暫和分散。與過去相比,資產本身對個人用戶的描述更少。
組織經常為授權而不是身份驗證而苦惱。身份驗證是通過使用生物識別和 MFA 來驗證個人身份的過程。資產的分佈式特性為組織提供了許多驗證個人身份的途徑。
公司面臨的更多問題是授權,即根據個人經過身份驗證的身份為個人提供正確數據訪問權限的行為。這可能不足的一個例子是,如果個人離職但仍然可以訪問該公司的資產。這可能會造成安全漏洞,因為個人用於工作的資產——例如裝有公司軟件的智能手機——仍然連接到公司的內部基礎設施,但不再受到監控,因為個人不再在公司工作.如果不加以控制,這可能會給組織帶來問題。
如果前員工的設備遭到黑客攻擊,黑客可能會在公司不知情的情況下訪問敏感的公司數據,因為該設備在許多方面不再對公司可見,但仍與公司基礎設施相連。黑客可能能夠更改密碼、查看敏感信息,甚至在暗網上出售員工憑證或消費者數據供其他黑客使用。
此問題的一種解決方案是嚴格監控和報告誰有權訪問受保護資源,以便在發生更改時可以立即識別並更新訪問控制列表 ( ACL ) 和權限以反映更改。
訪問控制的另一個經常被忽視的挑戰是訪問控制技術的用戶體驗 ( UX ) 設計。如果特定的訪問管理技術難以使用,員工可能會錯誤地使用它或完全繞過它,從而產生安全漏洞和合規性差距。如果報告或監控應用程序難以使用,則報告本身可能會因員工錯誤而受到損害,這將導致安全漏洞,因為重要的權限更改或安全漏洞未被報告。
門禁軟件
訪問控制軟件和技術的類型很多,通常多個組件一起使用來維護訪問控制。軟件工具可能位於內部、雲端或兩者的混合。他們可能主要關注公司的內部訪問管理,也可能向外關注客戶的訪問管理。一些類型的訪問管理軟件工具包括:
- 報告和監控應用程序
- 密碼管理工具
- 配置工具
- 身份資料庫
- 安全策略執行工具
Microsoft Active Directory (AD) 是一個軟件示例,它在一個產品中包含了上面列出的大多數工具。其他擁有流行的身份和訪問管理 (IAM)產品的供應商包括 IBM、Idaptive 和 Okta。
沒有留言:
張貼留言