訪問控制的定義及五大實現挑戰
訪問控制可驗證并授權個人訪問允許查看和使用的信息。
誰應該訪問公司的數據?你怎么保證嘗試訪問的人都經過了授權?在什么情況下要拒絕有權限的用戶訪問數據?
想要有效保護數據,公司的訪問控制策略必須解決以上及其他的問題。然后就是遵循訪問控制的幾個基本原則:訪問控制是什么?為什么訪問控制很重要?什么企業最需要訪問控制?實現和維護訪問控制時安全人員會面臨什么問題?
一、訪問控制定義
站在較高層級來看,訪問控制就是精選出來的一系列數據訪問規則。其主要組成部分有2個:身份驗證與授權。
身份驗證就是用于驗證給定用戶是否是其所聲稱的身份的一種技術。身份驗證本身并不足以防護數據,還需要授權技術以確定用戶是否可以訪問數據或執行其所嘗試的操作。
也就是說,訪問控制基本上就是確定用戶身份及其所享有權限的一種技術。
二、訪問控制對整個數據安全有多重要?
沒有身份驗證和授權,就沒有數據安全。每一起數據泄露事件,調查的時候首先查的就是訪問控制策略。無論是終端用戶疏忽大意造成的敏感數據意外暴露,還是Equifax這種因公共Web服務器軟件漏洞而泄露敏感數據,訪問控制都是其中關鍵因素。如果沒有恰當實現和維護好訪問控制,可能會造成災難性后果。
三、什么類型的企業最需要訪問控制?
只要公司員工需接入互聯網,公司就需要訪問控制。換句話說,當今世界的每一家公司都需要一定程度的訪問控制,尤其公司員工有在外辦公且需要訪問公司數據資源和服務的情況下。
或者,如果公司數據對非授權人士有一定價值,公司就需要實現訪問控制。
四、實施訪問控制的5個關鍵挑戰
1. 需要一致的策略
大多數安全人員都懂得訪問控制對公司的重要性,但至于該怎么實施訪問控制,大家意見不一。訪問控制需要在動態的環境中實施一致的策略。當今世界,大多數人都在混合環境中工作,數據通過開放WiFi熱點從內部服務器或云端流向辦公室、家里、酒店、車上和咖啡館。這種流動性讓訪問控制策略的事實變得很難。
而且,隨著接入設備的增多,比如PC、筆記本電腦、智能手機、平板電腦、智能音箱和其他物聯網設備,訪問策略的創建和持續維護就更難了,風險也隨之增大。
2. 確定最適當的控制模型
企業必須基于所處理數據的類型和敏感度確定最適合自己的訪問控制模型。老式訪問模型包括自主訪問控制(DAC)和強制訪問控制(MAC)。DAC模型下,數據擁有者確定訪問權限。DAC是根據用戶指定的規則來分配訪問權限的一種方式。
MAC采用非自主模式開發,根據信息許可授予用戶訪問權。MAC是基于中心權威機構的規則來分配訪問權限的一種策略。
如今,基于角色的訪問控制(RBAC)是最常用的訪問控制模型。RBAC根據用戶的角色分配訪問權限并實現關鍵安全原則,比如“最小權限原則”和“權限分離原則”。因此,試圖訪問信息的用戶便只能訪問執行自身角色職能所必須的那部分數據。
最新的模型名為基于屬性的訪問控制(ABAC),每個資源和用戶都賦予一系列屬性,幾乎對用戶屬性的比較評估,比如時間、職務和位置,來確定該用戶是否能訪問某個資源。
公司企業必須根據數據敏感性和運營需求來確定哪種模型是最適合自身的。尤其是處理個人可識別信息(PII)或其他敏感信息類型的公司企業,比如涉及《健康保險流通與責任法案》(HIPPA)和受控非密信息(CUI)數據的公司企業,必須將訪問控制設置為公司安全架構的核心功能。
3. 可能需要多套訪問控制解決方案
有多種技術可以支持各種訪問控制模型。某些情形下,可能需要多種技術協同工作以達到所需的訪問控制級別。如今數據廣泛分布于云服務和SaaS應用且接入傳統網絡邊界的事實,決定了必須編配一個協同的安全解決方案。有多家廠商提供可集成進傳統活動目錄(AD)的特權訪問及身份管理解決方案。多因子身份驗證也可以作為進一步強化安全的一個組件。
4. 授權依然是某些企業的阿基里斯之踵
如今,大多數企業都已善于使用身份驗證,且越來越多地采用多因子身份認證和基于生物特征識別的認證技術(比如人臉識別或虹膜識別)。最近幾年,隨著大型數據泄露導致被盜口令憑證在暗網售賣,安全人員已更加重視對多因子身份認證的需求。
授權則依然是安全人員經常出錯的一個領域。比如說,確定并持續監視哪些數據資源被何人在何種條件下以何種方式訪問,就是安全人員的一大挑戰。但不一致或強度較弱的授權協議,卻可能產生必須盡快修復的安全漏洞。
說到監視,無論公司選擇以何種方式實現訪問控制,都必須持續監視以發現潛在安全漏洞,即是為了合規,也是為了運營。企業必須定期進行監管審查、風險評估和合規審查,并要對執行訪問控制功能的應用程序反復進行漏洞掃描,還應該收集并監控每次訪問的日志以驗證策略有效性。
5. 訪問控制策略應可動態修改
過去,訪問控制方法通常是靜態的。而如今,網絡訪問必須是動態的,要支持基于身份和應用的用例。
高級訪問控制策略可動態適應不斷發展的風險因素,讓被入侵的公司可以隔離相關雇員和數據資源以最小化對公司的傷害。
公司企業必須確保自己的訪問控制技術受到云資產和應用的支持,可以平滑遷移到私有云之類虛擬環境。訪問控制規則必須基于風險因素而變,也就是說,企業必須在現有網絡和安全配置的基礎上用AI和機器學習技術來部署安全分析層,還需要實時識別威脅并自動化訪問控制規則。
五、訪問控制的底線
在今天的復雜IT環境中,應將訪問控制看做是采用最先進的工具、反映工作環境中的改變、識別所用設備的改變及其帶來的風險,并考慮到向云端的遷移的動態技術基礎設施。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
