访问控制可验证并授权个人访问允许查看和使用的信息。
谁应该访问公司的数据?你怎么保证尝试访问的人都经过了授权?在什么情况下要拒绝有权限的用户访问数据?
想要有效保护数据,公司的访问控制策略必须解决以上及其他的问题。然后就是遵循访问控制的几个基本原则:访问控制是什么?为什么访问控制很重要?什么企业最需要访问控制?实现和维护访问控制时安全人员会面临什么问题?
一、访问控制定义
站在较高层级来看,访问控制就是精选出来的一系列数据访问规则。其主要组成部分有2个:身份验证与授权。
身份验证就是用于验证给定用户是否是其所声称的身份的一种技术。身份验证本身并不足以防护数据,还需要授权技术以确定用户是否可以访问数据或执行其所尝试的操作。
也就是说,访问控制基本上就是确定用户身份及其所享有权限的一种技术。
二、访问控制对整个数据安全有多重要?
没有身份验证和授权,就没有数据安全。每一起数据泄露事件,调查的时候首先查的就是访问控制策略。无论是终端用户疏忽大意造成的敏感数据意外暴露,还是Equifax这种因公共Web服务器软件漏洞而泄露敏感数据,访问控制都是其中关键因素。如果没有恰当实现和维护好访问控制,可能会造成灾难性后果。
三、什么类型的企业最需要访问控制?
只要公司员工需接入互联网,公司就需要访问控制。换句话说,当今世界的每一家公司都需要一定程度的访问控制,尤其公司员工有在外办公且需要访问公司数据资源和服务的情况下。
或者,如果公司数据对非授权人士有一定价值,公司就需要实现访问控制。
四、实施访问控制的5个关键挑战
1. 需要一致的策略
大多数安全人员都懂得访问控制对公司的重要性,但至于该怎么实施访问控制,大家意见不一。访问控制需要在动态的环境中实施一致的策略。当今世界,大多数人都在混合环境中工作,数据通过开放WiFi热点从内部服务器或云端流向办公室、家里、酒店、车上和咖啡馆。这种流动性让访问控制策略的事实变得很难。
而且,随着接入设备的增多,比如PC、笔记本电脑、智能手机、平板电脑、智能音箱和其他物联网设备,访问策略的创建和持续维护就更难了,风险也随之增大。
2. 确定最适当的控制模型
企业必须基于所处理数据的类型和敏感度确定最适合自己的访问控制模型。老式访问模型包括自主访问控制(DAC)和强制访问控制(MAC)。DAC模型下,数据拥有者确定访问权限。DAC是根据用户指定的规则来分配访问权限的一种方式。
MAC采用非自主模式开发,根据信息许可授予用户访问权。MAC是基于中心权威机构的规则来分配访问权限的一种策略。
如今,基于角色的访问控制(RBAC)是最常用的访问控制模型。RBAC根据用户的角色分配访问权限并实现关键安全原则,比如“最小权限原则”和“权限分离原则”。因此,试图访问信息的用户便只能访问执行自身角色职能所必须的那部分数据。
最新的模型名为基于属性的访问控制(ABAC),每个资源和用户都赋予一系列属性,几乎对用户属性的比较评估,比如时间、职务和位置,来确定该用户是否能访问某个资源。
公司企业必须根据数据敏感性和运营需求来确定哪种模型是最适合自身的。尤其是处理个人可识别信息(PII)或其他敏感信息类型的公司企业,比如涉及《健康保险流通与责任法案》(HIPPA)和受控非密信息(CUI)数据的公司企业,必须将访问控制设置为公司安全架构的核心功能。
3. 可能需要多套访问控制解决方案
有多种技术可以支持各种访问控制模型。某些情形下,可能需要多种技术协同工作以达到所需的访问控制级别。如今数据广泛分布于云服务和SaaS应用且接入传统网络边界的事实,决定了必须编配一个协同的安全解决方案。有多家厂商提供可集成进传统活动目录(AD)的特权访问及身份管理解决方案。多因子身份验证也可以作为进一步强化安全的一个组件。
4. 授权依然是某些企业的阿基里斯之踵
如今,大多数企业都已善于使用身份验证,且越来越多地采用多因子身份认证和基于生物特征识别的认证技术(比如人脸识别或虹膜识别)。最近几年,随着大型数据泄露导致被盗口令凭证在暗网售卖,安全人员已更加重视对多因子身份认证的需求。
授权则依然是安全人员经常出错的一个领域。比如说,确定并持续监视哪些数据资源被何人在何种条件下以何种方式访问,就是安全人员的一大挑战。但不一致或强度较弱的授权协议,却可能产生必须尽快修复的安全漏洞。
说到监视,无论公司选择以何种方式实现访问控制,都必须持续监视以发现潜在安全漏洞,即是为了合规,也是为了运营。企业必须定期进行监管审查、风险评估和合规审查,并要对执行访问控制功能的应用程序反复进行漏洞扫描,还应该收集并监控每次访问的日志以验证策略有效性。
5. 访问控制策略应可动态修改
过去,访问控制方法通常是静态的。而如今,网络访问必须是动态的,要支持基于身份和应用的用例。
高级访问控制策略可动态适应不断发展的风险因素,让被入侵的公司可以隔离相关雇员和数据资源以最小化对公司的伤害。
公司企业必须确保自己的访问控制技术受到云资产和应用的支持,可以平滑迁移到私有云之类虚拟环境。访问控制规则必须基于风险因素而变,也就是说,企业必须在现有网络和安全配置的基础上用AI和机器学习技术来部署安全分析层,还需要实时识别威胁并自动化访问控制规则。
五、访问控制的底线
在今天的复杂IT环境中,应将访问控制看做是采用最先进的工具、反映工作环境中的改变、识别所用设备的改变及其带来的风险,并考虑到向云端的迁移的动态技术基础设施。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】