訪問控制是什么?數據安全的關鍵組成
訪問控制驗證用戶身份,并授予用戶訪問許可范圍內信息的權限。
誰能訪問公司的數據?怎樣確保嘗試訪問的人切實得到授權?何種情況下拒絕有權限用戶的訪問請求?
為有效保護數據,公司訪問控制策略必須解決這些(但不局限于這些)問題。以下內容便是訪問控制基礎知識導引:訪問控制是什么?為什么訪問控制很重要?哪些組織機構最需要訪問控制?安全人員將面對何種挑戰?
訪問控制是什么?
訪問控制是一套身份驗證和權限管理機制,用于保證用戶是其所聲稱的身份,以及授予用戶訪問公司數據的恰當權限。
從高級層面上看,訪問控制是數據訪問權限的選擇性限制。訪問控制由兩個主要部分組成:身份驗證與授權。
身份驗證是核實某人為其所宣稱身份的一種技術,其本身并不足以保證數據安全。想要保證數據安全,還需要添加額外的安全層——授權。授權用以確定用戶是否能夠訪問其所要求的數據,或者執行其所嘗試的交易。
沒有身份驗證與授權,就沒有數據安全。每一起數據泄露事件中,訪問控制總是最先被調查的策略。無論是敏感數據意外暴露而被終端用戶不當獲取,還是敏感數據經由公開服務器上軟件漏洞而暴露的 Equifax 數據泄露事件,訪問控制都是其中的關鍵部分。只要沒有恰當實現或維護好訪問控制,其結果都有可能是災難性的。
凡是員工需要連接互聯網的公司企業——也就是當今所有公司企業,都需要某種程度的訪問控制。有員工在外工作,且需要訪問公司數據資源與服務的公司企業,更應重視訪問控制策略實現。
換句話說,但凡你的數據對沒有恰當授權的人有任何價值,那你的公司就需要強訪問控制。
強訪問控制的另一原因:訪問挖掘
在暗網上收集與售賣訪問描述文件的問題正變得越來越嚴重。舉個例子,Carbon Black 最近發布的報告描述了 Smominru 加密貨幣挖掘僵尸網絡,但該僵尸網絡不僅挖掘加密貨幣,還挖掘各類敏感信息,包括內部 IP 地址、域信息、用戶名和密碼。Carbon Black 的研究人員認為,該黑客組織 “極有可能” 將這些信息放到 “訪問市場” 上售賣,以便買家此后運用遠程訪問發起自己的攻擊。
這些訪問市場為網絡罪犯購買系統和公司的訪問權限/憑證提供了一條便捷通道。該報告的作者稱:“訪問權失竊的系統可能會被當做僵尸主機用在大規模攻擊中,或者被當成針對性攻擊的入口點。”終極匿名服務 (UAS: Ultimate Anonymity Services) 就是這樣一個訪問市場,平均 6.75 美元就能買到一個訪問憑證,而整個市場上提供有 3.5 萬個憑證。
Carbon Black 研究人員表示,網絡罪犯將會更善加利用訪問市場和訪問挖掘技術,因為這實在是“太有利可圖”了。如果被盜用戶憑證擁有高于所需的權限,那公司面臨的風險也會隨之上升。
訪問控制策略:重點考慮
絕大多數安全人員都清楚訪問控制對自家公司的重要性。但訪問控制該如何實施,就沒那么容易取得共識了。訪問控制要求在沒有傳統邊界的動態世界中實現一致的策略。我們絕大多數人都在混合環境中工作,數據從公司服務器或云端流向辦公室、家里、酒店、車中,以及提供開放 WiFi 熱點的咖啡館。這就令訪問控制的實施很是棘手了。
除此之外,設備種類和數量的暴增也增加了風險暴露面,比如 PC、筆記本電腦、智能手機、平板電腦、智能音箱和其他物聯網 (IoT) 設備。設備多樣性讓創建和保持訪問策略一致性成為了非常現實的難題。
過去,訪問控制方法常常是靜態的。如今,網絡訪問必須是動態和流動的,要支持身份和基于應用的用例。
高級訪問控制策略應可動態調整,以響應不斷進化的風險因素,使已被入侵的公司能夠隔離相關員工和數據資源以控制傷害。
企業必須確保其訪問控制技術受到云資產和應用的一致支持,并能夠無縫遷移到私有云等虛擬環境。訪問控制規則必須依據風險因素而改變,也就是說,公司企業應在現有網絡及安全配置基礎之上,部署運用人工智能 (AI) 和機器學習的安全分析層。實時識別威脅并相應自動化調整訪問控制規則也是公司企業應努力實現的。
四種訪問控制
公司企業應根據所處理數據的類型及敏感程度,確定應采用哪種訪問控制模型。舊有訪問控制模型包括自主訪問控制 (DAC) 和強制訪問控制 (MAC),基于角色的訪問控制 (RBAC) 模型是現今最常用的,而最新的模型是基于屬性的訪問控制 (ABAC)。
- 自主訪問控制 (DAC):DAC 模型中,數據擁有者決定訪問權。DAC 是基于用戶指定的規則分配訪問權限的一種方式。
- 強制訪問控制 (MAC):MAC 采用非自主模型發展而來,基于信息許可授予用戶訪問權限。MAC 是基于中央權威的規則分配訪問權限的一種策略。
- 基于角色的訪問控制 (RBAC):RBAC 基于用戶的角色授予訪問權限,并實現關鍵安全原則,比如“最小權限原則”和“權限分離原則”。因此,嘗試訪問信息的用戶只能訪問其角色所需的必要數據。
- 基于屬性的訪問控制 (ABAC):ABAC 模型中,每個資源和用戶都被賦予一系列屬性。該動態方法中,資源訪問權限決策是根據對用戶屬性的比較評估做出的,比如時間、位置和職位等。
公司企業應根據數據敏感性和數據訪問運營需求,來確定哪一種模型是最適合自己的。尤其是處理個人可識別信息 (PII) 或其他敏感信息(如健康保險流通與責任法案 (HIPAA) 或《受控非密信息》 (CUI) 數據)的公司企業,必須將訪問控制當做自身安全架構的關鍵部分加以構建。
訪問控制解決方案
有很多技術可以支持多種訪問控制模型。某些情況下,只有協同使用多種技術才可以達成所需訪問控制等級。
數據廣布于云服務提供商和軟件即服務 (SaaS) 應用上,且接入傳統網絡邊界的現實,意味著需編排一個安全的解決方案。當前多家供應商提供的特權訪問和身份管理解決方案,均可以集成進傳統微軟活動目錄 (AD) 架構。多因子身份驗證也可用作進一步增強安全的措施。
為什么授權依舊棘手?
如今,大部分公司企業已擅長身份驗證,尤其是在多因子身份驗證和生物特征識別身份驗證(比如人臉識別或虹膜識別)的幫助下。最近幾年,由于重大數據泄露造成被盜密碼憑證在暗網上售賣,安全人員更加重視多因子身份驗證了。
但授權卻仍是安全人員常常搞砸的一個領域。新手很難確定并持續監測誰具有哪些數據資源的訪問權,應怎樣訪問數據資源,以及何種情況下可以授予訪問權。不一致的授權協議或弱授權協議卻能制造安全漏洞,不盡快發現和修復就會造成重大損失的那種。
說到監視,無論公司選擇哪種訪問控制實現方法,其實施都必須受到持續監視,要符合公司安全策略和運營方針,能識別潛在安全漏洞。公司企業應定期執行治理、風險及合規審核。執行訪問控制功能的每個應用都需要反復接受漏洞掃描,應收集和監視每次訪問的日志以發現策略違反事件。
今天的復雜 IT 環境中,訪問控制應被視為運用高級工具的動態技術基礎設施,反映移動性增長等網絡環境變化,識別我們所用設備的改變及其固有風險,并考慮云遷移風潮的影響。
Carbon Black 的訪問挖掘報告:
https://www.carbonblack.com/resources/threat-research/access-mining/
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
