身份和門禁管理(IAM,Identity and Management)是安全系統的組成部分。沒有適當的身份驗證和授權,就不可能實踐零信任和最小特權等網路安全原則。
到目前為止,大多數組織都牢牢掌握了 IAM 的身份部分,包括多因素和基於令牌的身份驗證等概念。然而,實施門禁控制仍然具有挑戰性,因為基於角色的門禁控制(RBAC, role-based access control )等方法,在許多情況下被證明是不夠的。
本報導討論了企業面臨的主要門禁控制挑戰、RBAC 的侷限性,以及解決這些問題的解決方案。
五大門禁控制問題
門禁控制系統規範誰或什麼可以門禁資訊和資源,以及他們可以使用這些資產做什麼。企業通常面臨以下門禁控制問題:
1. 分散式 IT 系統
如今,IT 系統通常由多個雲和本地網路組成。這些系統在地理上可能分散,包括許多裝置、資產和虛擬機器。所有這些裝置都被授予門禁許可權,追蹤它們可能很困難。
正如我們在 2022 年雲原生對齊報告中發現的那樣,97% 的企業計劃增加對雲原生技術的使用。這種遷移將導致分散式 IT 系統成為規範,門禁控制方法需要相應地發展。
2. 政策管理
組織內的決策者編寫政策,IT 部門將預期的政策轉化為實施程式。這兩個小組之間的協調對於使門禁控制系統保持最新,並按預期工作非常重要。政策實施者往往對門禁控制規則背後的意圖缺乏瞭解,決策者通常無法自行更新或更改政策。
3. 過度的許可權和例外
在競爭激烈的市場中,公司重視雲工作負載提供的靈活性和靈活性。在匆忙進入市場時,安全性往往被忽視。管理員可以向個人使用者授予不必要的許可權,以防止開發中的任何延遲。這種做法大大降低了門禁控制系統提供的安全水準。
Verizon 的一份 2019 年報告發現,當年所有資料洩露的 34% 中,內部行為者參與了其中。透過限制授予使用者的過度許可權數量,來實踐最小特權的安全原則,可以幫助防止這些內部資料洩露。
此外,特殊情況有時需要制定政策例外,這可能很難追蹤和管理。在過於頻繁地進行例外時,辨識未經授權的訪問,也可能具有挑戰性。
4. 監控和報告
組織必須持續監控門禁控制系統,以確保遵守內部政策和政府法規。任何違規行為或更改都應立即辨識和報告。不這樣做可能會導致機密資訊落入壞人之手,從而根據隱私法被處以罰款。據 GlobalScape 稱,由於一次違規行為,公司平均損失 400 萬美元的收入。
5. 門禁控制模式
門禁控制方法提供不同程度的粒度。為你的組織選擇合適的門禁控制模式,讓你在充分的安全性和員工生產力之間走一條細線。
RBAC 仍然是實施最廣泛的授權解決方案。RBAC 易於設定,更適合小型企業和公司。其他遺留授權系統包括強制門禁控制(MAC,mandatory access control)和自由裁量門禁控制(DAC,Declarative Authorization Service)。這些模型經常被軍事和政府機構使用。
更高階的模式包括基於屬性的門禁控制(ABAC,attribute-based access control)和基於策略的門禁管理(PBAM,policy-based access management (PBAM). )。這些系統提供了對授權決策的細粒度控制,允許你分配屬性,來確定使用者是否可以訪問資源。
瞭解美國最大的直接銀行如何透過 Styra 宣告性授權服務(DAS)管理門禁控制政策。
為什麼你需要超越 RBAC 方法
儘管實施簡單,但 RBAC 在企業級授權方面有幾個缺點。缺點包括:
— 角色爆炸:RBAC 的主要侷限性,特別是對大公司和組織來說,是角色爆炸。隨著公司的成長,更多的職位被新增到組織結構中。管理員必須手動將這些角色新增到 RBAC 系統中。如果個人使用者在公司內更換職位,他們也可以分配多個角色。管理大量角色可能會導致監督和安全複雜化。
— 管理和維護挑戰:RBAC 系統需要定期維護才能有效。隨著員工調動部門、獲得晉升或離開公司,角色需要更新或刪除。雖然實施很簡單,但管理員仍然必須花大量時間,為組織中的每個人定義角色。
— 僅分配給角色的許可權:使用 RBAC 模型,你只能將許可權設定為角色,而不能設定為資源或資產。在授予門禁許可權時,系統忽略了所有權和位置等資源屬性。
— 靜態授權:RBAC 規則不靈活,在授予門禁許可權時不考慮動態因素。這一限制使 RBAC 不適合保護使用者只能在本地或工作時間,門禁的高度敏感資料。
基於 Kubernetes 意圖的 API:基於意圖的 API 只允許使用者執行一定數量的操作。RBAC 策略沒有 Kubernetes API 安全所需的粒度,試圖透過 RBAC 實現細粒度門禁控制將不必要地複雜。
解決方案:使用開放策略代理(OPA)進行安全訪問
OPA 是一個開源策略引擎,它使用簡單的 API,從你的應用中解除安裝策略決策。策略是用一種名為 Rego 的高階策略語言編寫的,使業務使用者更容易理解和實施它們。
OPA 的另一個優勢是,你可以根據組織的具體需求,將策略作為程式來互換實現 RBAC和ABAC。OPA 在雲原生環境中有多個用例,包括微服務、Kubernetes 和 Terraform,以幫助你解決大多數門禁控制問題。
然而,OPA 沒有開箱即用的控制平台,來從中心位置管理所有 OPA 佈署。 Styra 最初設計 OPA 是為了解決應用等級的授權,而不是整個企業系統。
隨著 OPA 越來越受歡迎,科技界的巨頭開始在他們的雲系統中實施它,Styra 意識到了對交鑰匙管理解決方案的需求,並推出了 Styra DAS。
Styra DAS —— 業界第一個 OPA 控制平台 —— 管理從創作到執行的整個策略生命週期。它還使你能夠即時監控政策並檢視違規行為。策略可以在實施前進行測試和驗證,更好的是,你可以使用圖形使用者介面(GUI)而不是文字編輯器來編寫策略。
嘗試 Styra DAS Free 或 預訂演示,看看我們如何幫助你克服雲原生環境中的門禁控制挑戰。
常見問題解答
門禁控制可以防止什麼?
門禁控制可以防止資料洩露和洩露。據 IBM 稱,在美國,資料洩露平均花費 944 萬美元。被盜資訊可能包括客戶資料、醫療保健記錄和智慧財產權。
實施門禁控制的最佳做法有哪些?
門禁控制實施的一些最佳實踐,是為你的環境選擇最合適的門禁控制模型,監控整個系統的使用者訪問,並應用最小特權和零信任的原則。
沒有留言:
張貼留言