轉載 | 訪問控制的定義及五大實現挑戰

訪問控制可驗證並受權我的訪問容許查看和使用的信息。

誰應該訪問公司的數據？你怎麼保證嘗試訪問的人都通過了受權？在什麼狀況下要拒絕有權限的用戶訪問數據？

想要有效保護數據，公司的訪問控制策略必須解決以上及其餘的問題。而後就是遵循訪問控制的幾個基本原則：訪問控制是什麼？爲何訪問控制很重要？什麼企業最須要訪問控制？實現和維護訪問控制時安全人員會面臨什麼問題？

訪問控制定義

站在較高層級來看，訪問控制就是精選出來的一系列數據訪問規則。其主要組成部分有2個：身份驗證與受權。

身份驗證就是用於驗證給定用戶是不是其所聲稱的身份的一種技術。身份驗證自己並不足以防禦數據，還須要受權技術以肯定用戶是否能夠訪問數據或執行其所嘗試的操做。

也就是說，訪問控制基本上就是肯定用戶身份及其所享有權限的一種技術。

訪問控制對整個數據安全有多重要？

沒有身份驗證和受權，就沒有數據安全。每一塊兒數據泄露事件，調查的時候首先查的就是訪問控制策略。不管是終端用戶疏忽大意形成的敏感數據意外暴露，仍是Equifax這種因公共Web服務器軟件漏洞而泄露敏感數據，訪問控制都是其中關鍵因素。若是沒有恰當實現和維護好訪問控制，可能會形成災難性後果。

什麼類型的企業最須要訪問控制？

只要公司員工需接入互聯網，公司就須要訪問控制。換句話說，當今世界的每一家公司都須要必定程度的訪問控制，尤爲公司員工有在外辦公且須要訪問公司數據資源和服務的狀況下。

或者，若是公司數據對非受權人士有必定價值，公司就須要實現訪問控制。

實施訪問控制的5個關鍵挑戰

1. 須要一致的策略

大多數安全人員都懂得訪問控制對公司的重要性，但至於該怎麼實施訪問控制，你們意見不一。訪問控制須要在動態的環境中實施一致的策略。當今世界，大多數人都在混合環境中工做，數據經過開放WiFi熱點從內部服務器或雲端流向辦公室、家裏、酒店、車上和咖啡館。這種流動性讓訪問控制策略的事實變得很難。

並且，隨着接入設備的增多，好比PC、筆記本電腦、智能手機、平板電腦、智能音箱和其餘物聯網設備，訪問策略的建立和持續維護就更難了，風險也隨之增大。

2. 肯定最適當的控制模型

企業必須基於所處理數據的類型和敏感度肯定最適合本身的訪問控制模型。老式訪問模型包括自主訪問控制(DAC)和強制訪問控制(MAC)。DAC模型下，數據擁有者肯定訪問權限。DAC是根據用戶指定的規則來分配訪問權限的一種方式。

MAC採用非自主模式開發，根據信息許可授予用戶訪問權。MAC是基於中心權威機構的規則來分配訪問權限的一種策略。

現在，基於角色的訪問控制(RBAC)是最經常使用的訪問控制模型。RBAC根據用戶的角色分配訪問權限並實現關鍵安全原則，好比「最小權限原則」和「權限分離原則」。所以，試圖訪問信息的用戶便只能訪問執行自身角色職能所必須的那部分數據。

最新的模型名爲基於屬性的訪問控制(ABAC)，每一個資源和用戶都賦予一系列屬性，幾乎對用戶屬性的比較評估，好比時間、職務和位置，來肯定該用戶是否能訪問某個資源。

公司企業必須根據數據敏感性和運營需求來肯定哪一種模型是最適合自身的。尤爲是處理我的可識別信息(PII)或其餘敏感信息類型的公司企業，好比涉及《健康保險流通與責任法案》(HIPPA)和受控非密信息(CUI)數據的公司企業，必須將訪問控制設置爲公司安全架構的核心功能。

3. 可能須要多套訪問控制解決方案

有多種技術能夠支持各類訪問控制模型。某些情形下，可能須要多種技術協同工做以達到所需的訪問控制級別。現在數據普遍分佈於雲服務和SaaS應用且接入傳統網絡邊界的事實，決定了必須編配一個協同的安全解決方案。有多家廠商提供可集成進傳統活動目錄(AD)的特權訪問及身份管理解決方案。多因子身份驗證也能夠做爲進一步強化安全的一個組件。

4. 受權依然是某些企業的阿基里斯之踵

現在，大多數企業都已善於使用身份驗證，且愈來愈多地採用多因子身份認證和基於生物特徵識別的認證技術（好比人臉識別或虹膜識別）。最近幾年，隨着大型數據泄露致使被盜口令憑證在暗網售賣，安全人員已更加劇視對多因子身份認證的需求。

受權則依然是安全人員常常出錯的一個領域。好比說，肯定並持續監視哪些數據資源被何人在何種條件下以何種方式訪問，就是安全人員的一大挑戰。但不一致或強度較弱的受權協議，卻可能產生必須儘快修復的安全漏洞。

說到監視，不管公司選擇以何種方式實現訪問控制，都必須持續監視以發現潛在安全漏洞，便是爲了合規，也是爲了運營。企業必須按期進行監管審查、風險評估和合規審查，並要對執行訪問控制功能的應用程序反覆進行漏洞掃描，還應該收集並監控每次訪問的日誌以驗證策略有效性。

5. 訪問控制策略應可動態修改

過去，訪問控制方法一般是靜態的。而現在，網絡訪問必須是動態的，要支持基於身份和應用的用例。

高級訪問控制策略可動態適應不斷髮展的風險因素，讓被入侵的公司能夠隔離相關僱員和數據資源以最小化對公司的傷害。

公司企業必須確保本身的訪問控制技術受到雲資產和應用的支持，能夠平滑遷移到私有云之類虛擬環境。訪問控制規則必須基於風險因素而變，也就是說，企業必須在現有網絡和安全配置的基礎上用AI和機器學習技術來部署安全分析層，還須要實時識別威脅並自動化訪問控制規則。

訪問控制的底線

在今天的複雜IT環境中，應將訪問控制看作是採用最早進的工具、反映工做環境中的改變、識別所用設備的改變及其帶來的風險，並考慮到向雲端的遷移的動態技術基礎設施。

原文連接：https://www.aqniu.com/learn/31578.html 做者：nana 星期二, 二月 13, 2018

相關閱讀

• Authing 是什麼以及爲何須要 Authing
• 咱們爲何堅持作 ToB 的慢生意
• Authing 知識庫

什麼是 Authing？

Authing 提供專業的身份認證和受權服務。
咱們爲開發者和企業提供用以保證應用程序安全所需的認證模塊，這讓開發人員無需成爲安全專家。
你能夠將任意平臺的應用接入到 Authing（不管是新開發的應用仍是老應用均可以），同時你還能夠自定義應用程序的登陸方式（如：郵箱/密碼、短信/驗證碼、掃碼登陸等）。
你能夠根據你使用的技術，來選擇咱們的 SDK 或調用相關 API 來接入你的應用。當用戶發起受權請求時，Authing 會幫助你認證他們的身份和返回必要的用戶信息到你的應用中。

Authing 在應用交互中的位置

• 官網：http://authing.cn
• 小登陸：https://wxapp.authing.cn/#/
• 倉庫： 歡迎 Star，歡迎 PR
  • https://gitee.com/Authi_ng
  • https://github.com/authing
• Demo：
  • https://sample.authing.cn
  • https://github.com/Authing/qrcode-sample
• 文檔：https://docs.authing.cn/authing/

歡迎關注 Authing 技術專欄