想要有效保護數(shù)據(jù),公司的訪問控制策略必須解決以上及其他的問題。
然后就是遵循訪問控制的幾個基本原則:訪問控制是什么?為什么訪問控制很重要?什么企業(yè)最需要訪問控制?實現(xiàn)和維護訪問控制時安全人員會面臨什么問題?一�、訪問控制定義站在較高層級來看,訪問控制就是精選出來的一系列數(shù)據(jù)訪問規(guī)則�。
其主要組成部分有2個:身份驗證與授權。
身份驗證就是用于驗證給定用戶是否是其所聲稱的身份的一種技術���。
身份驗證本身并不足以防護數(shù)據(jù)�����,還需要授權技術以確定用戶是否可以訪問數(shù)據(jù)或執(zhí)行其所嘗試的操作��。
也就是說��,訪問控制基本上就是確定用戶身份及其所享有權限的一種技術����。
二��、訪問控制對整個數(shù)據(jù)安全有多重要?沒有身份驗證和授權�,就沒有數(shù)據(jù)安全。
每一起數(shù)據(jù)泄露事件�����,調查的時候首先查的就是訪問控制策略。
無論是終端用戶疏忽大意造成的敏感數(shù)據(jù)意外暴露�,還是Equifax這種因公共Web服務器軟件漏洞而泄露敏感數(shù)據(jù),訪問控制都是其中關鍵因素���。
如果沒有恰當實現(xiàn)和維護好訪問控制�����,可能會造成災難性后果�����。
三����、什么類型的企業(yè)最需要訪問控制?只要公司員工需接入互聯(lián)網����,公司就需要訪問控制。
換句話說�,當今世界的每一家公司都需要一定程度的訪問控制����,尤其公司員工有在外辦公且需要訪問公司數(shù)據(jù)資源和服務的情況下��。
或者��,如果公司數(shù)據(jù)對非授權人士有一定價值����,公司就需要實現(xiàn)訪問控制�。
四、實施訪問控制的5個關鍵挑戰(zhàn)1. 需要一致的策略大多數(shù)安全人員都懂得訪問控制對公司的重要性�,但至于該怎么實施訪問控制,大家意見不一���。
訪問控制需要在動態(tài)的環(huán)境中實施一致的策略�。
當今世界���,大多數(shù)人都在混合環(huán)境中工作���,數(shù)據(jù)通過開放WiFi熱點從內部服務器或云端流向辦公室、家里���、酒店���、車上和咖啡館���。
這種流動性讓訪問控制策略的事實變得很難。
而且��,隨著接入設備的增多���,比如PC�����、筆記本電腦����、智能手機�����、平板電腦����、智能音箱和其他物聯(lián)網設備,訪問策略的創(chuàng)建和持續(xù)維護就更難了���,風險也隨之增大���。
2. 確定最適當?shù)目刂颇P推髽I(yè)必須基于所處理數(shù)據(jù)的類型和敏感度確定最適合自己的訪問控制模型。
老式訪問模型包括自主訪問控制(DAC)和強制訪問控制(MAC)����。
DAC模型下,數(shù)據(jù)擁有者確定訪問權限�。
DAC是根據(jù)用戶指定的規(guī)則來分配訪問權限的一種方式。
MAC采用非自主模式開發(fā)��,根據(jù)信息許可授予用戶訪問權�。
MAC是基于中心權威機構的規(guī)則來分配訪問權限的一種策略。
如今��,基于角色的訪問控制(RBAC)是最常用的訪問控制模型��。
RBAC根據(jù)用戶的角色分配訪問權限并實現(xiàn)關鍵安全原則�,比如“最小權限原則”和“權限分離原則”。
因此�,試圖訪問信息的用戶便只能訪問執(zhí)行自身角色職能所必須的那部分數(shù)據(jù)。
最新的模型名為基于屬性的訪問控制(ABAC)���,每個資源和用戶都賦予一系列屬性�,幾乎對用戶屬性的比較評估,比如時間�、職務和位置,來確定該用戶是否能訪問某個資源��。
公司企業(yè)必須根據(jù)數(shù)據(jù)敏感性和運營需求來確定哪種模型是最適合自身的���。
尤其是處理個人可識別信息(PII)或其他敏感信息類型的公司企業(yè)����,比如涉及《健康保險流通與責任法案》(HIPPA)和受控非密信息(CUI)數(shù)據(jù)的公司企業(yè)��,必須將訪問控制設置為公司安全架構的核心功能����。
3. 可能需要多套訪問控制解決方案有多種技術可以支持各種訪問控制模型。
某些情形下���,可能需要多種技術協(xié)同工作以達到所需的訪問控制級別����。
如今數(shù)據(jù)廣泛分布于云服務和SaaS應用且接入傳統(tǒng)網絡邊界的事實�,決定了必須編配一個協(xié)同的安全解決方案。
有多家廠商提供可集成進傳統(tǒng)活動目錄(AD)的特權訪問及身份管理解決方案。
多因子身份驗證也可以作為進一步強化安全的一個組件�。
4. 授權依然是某些企業(yè)的阿基里斯之踵如今,大多數(shù)企業(yè)都已善于使用身份驗證����,且越來越多地采用多因子身份認證和基于生物特征識別的認證技術(比如人臉識別或虹膜識別)。
最近幾年�����,隨著大型數(shù)據(jù)泄露導致被盜口令憑證在暗網售賣����,安全人員已更加重視對多因子身份認證的需求��。
授權則依然是安全人員經常出錯的一個領域�����。
比如說�����,確定并持續(xù)監(jiān)視哪些數(shù)據(jù)資源被何人在何種條件下以何種方式訪問�,就是安全人員的一大挑戰(zhàn)。
但不一致或強度較弱的授權協(xié)議�����,卻可能產生必須盡快修復的安全漏洞。
說到監(jiān)視����,無論公司選擇以何種方式實現(xiàn)訪問控制,都必須持續(xù)監(jiān)視以發(fā)現(xiàn)潛在安全漏洞�,即是為了合規(guī),也是為了運營���。
企業(yè)必須定期進行監(jiān)管審查����、風險評估和合規(guī)審查�,并要對執(zhí)行訪問控制功能的應用程序反復進行漏洞掃描,還應該收集并監(jiān)控每次訪問的日志以驗證策略有效性���。
5. 訪問控制策略應可動態(tài)修改過去�,訪問控制方法通常是靜態(tài)的���。
而如今�����,網絡訪問必須是動態(tài)的����,要支持基于身份和應用的用例。
高級訪問控制策略可動態(tài)適應不斷發(fā)展的風險因素����,讓被入侵的公司可以隔離相關雇員和數(shù)據(jù)資源以最小化對公司的傷害。
公司企業(yè)必須確保自己的訪問控制技術受到云資產和應用的支持�����,可以平滑遷移到私有云之類虛擬環(huán)境����。
訪問控制規(guī)則必須基于風險因素而變�����,也就是說���,企業(yè)必須在現(xiàn)有網絡和安全配置的基礎上用AI和機器學習技術來部署安全分析層��,還需要實時識別威脅并自動化訪問控制規(guī)則����。
五、訪問控制的底線在今天的復雜IT環(huán)境中��,應將訪問控制看做是采用最先進的工具��、反映工作環(huán)境中的改變�����、識別所用設備的改變及其帶來的風險���,并考慮到向云端的遷移的動態(tài)技術基礎設施��。
