想要有效保護(hù)數(shù)據(jù)���,公司的訪問控制策略必須解決以上及其他的問題。
然后就是遵循訪問控制的幾個(gè)基本原則:訪問控制是什么?為什么訪問控制很重要?什么企業(yè)最需要訪問控制?實(shí)現(xiàn)和維護(hù)訪問控制時(shí)安全人員會(huì)面臨什么問題?
一�、訪問控制定義站在較高層級(jí)來看,訪問控制就是精選出來的一系列數(shù)據(jù)訪問規(guī)則��。
其主要組成部分有2個(gè):身份驗(yàn)證與授權(quán)�。
身份驗(yàn)證就是用于驗(yàn)證給定用戶是否是其所聲稱的身份的一種技術(shù)。
身份驗(yàn)證本身并不足以防護(hù)數(shù)據(jù)���,還需要授權(quán)技術(shù)以確定用戶是否可以訪問數(shù)據(jù)或執(zhí)行其所嘗試的操作��。
也就是說���,訪問控制基本上就是確定用戶身份及其所享有權(quán)限的一種技術(shù)。
二����、訪問控制對(duì)整個(gè)數(shù)據(jù)安全有多重要?沒有身份驗(yàn)證和授權(quán),就沒有數(shù)據(jù)安全����。
每一起數(shù)據(jù)泄露事件,調(diào)查的時(shí)候首先查的就是訪問控制策略�����。
無論是終端用戶疏忽大意造成的敏感數(shù)據(jù)意外暴露��,還是Equifax這種因公共Web服務(wù)器軟件漏洞而泄露敏感數(shù)據(jù)�����,訪問控制都是其中關(guān)鍵因素��。
如果沒有恰當(dāng)實(shí)現(xiàn)和維護(hù)好訪問控制��,可能會(huì)造成災(zāi)難性后果。
三����、什么類型的企業(yè)最需要訪問控制?只要公司員工需接入互聯(lián)網(wǎng),公司就需要訪問控制����。
換句話說,當(dāng)今世界的每一家公司都需要一定程度的訪問控制����,尤其公司員工有在外辦公且需要訪問公司數(shù)據(jù)資源和服務(wù)的情況下。
或者���,如果公司數(shù)據(jù)對(duì)非授權(quán)人士有一定價(jià)值����,公司就需要實(shí)現(xiàn)訪問控制����。
四、實(shí)施訪問控制的5個(gè)關(guān)鍵挑戰(zhàn)
1. 需要一致的策略大多數(shù)安全人員都懂得訪問控制對(duì)公司的重要性��,但至于該怎么實(shí)施訪問控制���,大家意見不一�����。
訪問控制需要在動(dòng)態(tài)的環(huán)境中實(shí)施一致的策略��。
當(dāng)今世界���,大多數(shù)人都在混合環(huán)境中工作,數(shù)據(jù)通過開放WiFi熱點(diǎn)從內(nèi)部服務(wù)器或云端流向辦公室���、家里�����、酒店��、車上和咖啡館�����。
這種流動(dòng)性讓訪問控制策略的事實(shí)變得很難����。
而且,隨著接入設(shè)備的增多���,比如PC����、筆記本電腦���、智能手機(jī)����、平板電腦�、智能音箱和其他物聯(lián)網(wǎng)設(shè)備,訪問策略的創(chuàng)建和持續(xù)維護(hù)就更難了�,風(fēng)險(xiǎn)也隨之增大。
2. 確定最適當(dāng)?shù)目刂颇P推髽I(yè)必須基于所處理數(shù)據(jù)的類型和敏感度確定最適合自己的訪問控制模型�����。
老式訪問模型包括自主訪問控制(DAC)和強(qiáng)制訪問控制(MAC)����。
DAC模型下,數(shù)據(jù)擁有者確定訪問權(quán)限�����。
DAC是根據(jù)用戶指定的規(guī)則來分配訪問權(quán)限的一種方式。
MAC采用非自主模式開發(fā)�����,根據(jù)信息許可授予用戶訪問權(quán)�����。
MAC是基于中心權(quán)威機(jī)構(gòu)的規(guī)則來分配訪問權(quán)限的一種策略�。
如今�����,基于角色的訪問控制(RBAC)是最常用的訪問控制模型��。
RBAC根據(jù)用戶的角色分配訪問權(quán)限并實(shí)現(xiàn)關(guān)鍵安全原則�,比如“最小權(quán)限原則”和“權(quán)限分離原則”。
因此����,試圖訪問信息的用戶便只能訪問執(zhí)行自身角色職能所必須的那部分?jǐn)?shù)據(jù)。
最新的模型名為基于屬性的訪問控制(ABAC)�����,每個(gè)資源和用戶都賦予一系列屬性,幾乎對(duì)用戶屬性的比較評(píng)估����,比如時(shí)間、職務(wù)和位置�,來確定該用戶是否能訪問某個(gè)資源。
公司企業(yè)必須根據(jù)數(shù)據(jù)敏感性和運(yùn)營需求來確定哪種模型是最適合自身的�����。
尤其是處理個(gè)人可識(shí)別信息(PII)或其他敏感信息類型的公司企業(yè)�����,比如涉及《健康保險(xiǎn)流通與責(zé)任法案》(HIPPA)和受控非密信息(CUI)數(shù)據(jù)的公司企業(yè)�����,必須將訪問控制設(shè)置為公司安全架構(gòu)的核心功能�。
3. 可能需要多套訪問控制解決方案有多種技術(shù)可以支持各種訪問控制模型。
某些情形下����,可能需要多種技術(shù)協(xié)同工作以達(dá)到所需的訪問控制級(jí)別����。
如今數(shù)據(jù)廣泛分布于云服務(wù)和SaaS應(yīng)用且接入傳統(tǒng)網(wǎng)絡(luò)邊界的事實(shí)�����,決定了必須編配一個(gè)協(xié)同的安全解決方案�。
有多家廠商提供可集成進(jìn)傳統(tǒng)活動(dòng)目錄(AD)的特權(quán)訪問及身份管理解決方案。
多因子身份驗(yàn)證也可以作為進(jìn)一步強(qiáng)化安全的一個(gè)組件���。
4. 授權(quán)依然是某些企業(yè)的阿基里斯之踵如今�,大多數(shù)企業(yè)都已善于使用身份驗(yàn)證���,且越來越多地采用多因子身份認(rèn)證和基于生物特征識(shí)別的認(rèn)證技術(shù)(比如人臉識(shí)別或虹膜識(shí)別)。
最近幾年����,隨著大型數(shù)據(jù)泄露導(dǎo)致被盜口令憑證在暗網(wǎng)售賣,安全人員已更加重視對(duì)多因子身份認(rèn)證的需求����。
授權(quán)則依然是安全人員經(jīng)常出錯(cuò)的一個(gè)領(lǐng)域。
比如說���,確定并持續(xù)監(jiān)視哪些數(shù)據(jù)資源被何人在何種條件下以何種方式訪問�����,就是安全人員的一大挑戰(zhàn)����。
但不一致或強(qiáng)度較弱的授權(quán)協(xié)議,卻可能產(chǎn)生必須盡快修復(fù)的安全漏洞����。
說到監(jiān)視,無論公司選擇以何種方式實(shí)現(xiàn)訪問控制���,都必須持續(xù)監(jiān)視以發(fā)現(xiàn)潛在安全漏洞�����,即是為了合規(guī)���,也是為了運(yùn)營。
企業(yè)必須定期進(jìn)行監(jiān)管審查�����、風(fēng)險(xiǎn)評(píng)估和合規(guī)審查,并要對(duì)執(zhí)行訪問控制功能的應(yīng)用程序反復(fù)進(jìn)行漏洞掃描�,還應(yīng)該收集并監(jiān)控每次訪問的日志以驗(yàn)證策略有效性。
5. 訪問控制策略應(yīng)可動(dòng)態(tài)修改過去���,訪問控制方法通常是靜態(tài)的��。
而如今��,網(wǎng)絡(luò)訪問必須是動(dòng)態(tài)的�����,要支持基于身份和應(yīng)用的用例�。
高級(jí)訪問控制策略可動(dòng)態(tài)適應(yīng)不斷發(fā)展的風(fēng)險(xiǎn)因素��,讓被入侵的公司可以隔離相關(guān)雇員和數(shù)據(jù)資源以最小化對(duì)公司的傷害����。
公司企業(yè)必須確保自己的訪問控制技術(shù)受到云資產(chǎn)和應(yīng)用的支持����,可以平滑遷移到私有云之類虛擬環(huán)境。
訪問控制規(guī)則必須基于風(fēng)險(xiǎn)因素而變,也就是說����,企業(yè)必須在現(xiàn)有網(wǎng)絡(luò)和安全配置的基礎(chǔ)上用AI和機(jī)器學(xué)習(xí)技術(shù)來部署安全分析層,還需要實(shí)時(shí)識(shí)別威脅并自動(dòng)化訪問控制規(guī)則��。
五����、訪問控制的底線在今天的復(fù)雜IT環(huán)境中,應(yīng)將訪問控制看做是采用最先進(jìn)的工具���、反映工作環(huán)境中的改變�、識(shí)別所用設(shè)備的改變及其帶來的風(fēng)險(xiǎn)�,并考慮到向云端的遷移的動(dòng)態(tài)技術(shù)基礎(chǔ)設(shè)施。
