訪問控制驗(yàn)證用戶身份，并授予用戶訪問許可范圍內(nèi)信息的權(quán)限。

[[275443]]

誰能訪問公司的數(shù)據(jù)?怎樣確保嘗試訪問的人切實(shí)得到授權(quán)?何種情況下拒絕有權(quán)限用戶的訪問請求?

為有效保護(hù)數(shù)據(jù)，公司訪問控制策略必須解決這些(但不局限于這些)問題。以下內(nèi)容便是訪問控制基礎(chǔ)知識(shí)導(dǎo)引：訪問控制是什么?為什么訪問控制很重要?哪些組織機(jī)構(gòu)最需要訪問控制?安全人員將面對何種挑戰(zhàn)?

訪問控制是什么?

訪問控制是一套身份驗(yàn)證和權(quán)限管理機(jī)制，用于保證用戶是其所聲稱的身份，以及授予用戶訪問公司數(shù)據(jù)的恰當(dāng)權(quán)限。

從高級(jí)層面上看，訪問控制是數(shù)據(jù)訪問權(quán)限的選擇性限制。訪問控制由兩個(gè)主要部分組成：身份驗(yàn)證與授權(quán)。

身份驗(yàn)證是核實(shí)某人為其所宣稱身份的一種技術(shù)，其本身并不足以保證數(shù)據(jù)安全。想要保證數(shù)據(jù)安全，還需要添加額外的安全層——授權(quán)。授權(quán)用以確定用戶是否能夠訪問其所要求的數(shù)據(jù)，或者執(zhí)行其所嘗試的交易。

沒有身份驗(yàn)證與授權(quán)，就沒有數(shù)據(jù)安全。每一起數(shù)據(jù)泄露事件中，訪問控制總是最先被調(diào)查的策略。無論是敏感數(shù)據(jù)意外暴露而被終端用戶不當(dāng)獲取，還是敏感數(shù)據(jù)經(jīng)由公開服務(wù)器上軟件漏洞而暴露的 Equifax 數(shù)據(jù)泄露事件，訪問控制都是其中的關(guān)鍵部分。只要沒有恰當(dāng)實(shí)現(xiàn)或維護(hù)好訪問控制，其結(jié)果都有可能是災(zāi)難性的。

凡是員工需要連接互聯(lián)網(wǎng)的公司企業(yè)——也就是當(dāng)今所有公司企業(yè)，都需要某種程度的訪問控制。有員工在外工作，且需要訪問公司數(shù)據(jù)資源與服務(wù)的公司企業(yè)，更應(yīng)重視訪問控制策略實(shí)現(xiàn)。

換句話說，但凡你的數(shù)據(jù)對沒有恰當(dāng)授權(quán)的人有任何價(jià)值，那你的公司就需要強(qiáng)訪問控制。

強(qiáng)訪問控制的另一原因：訪問挖掘

在暗網(wǎng)上收集與售賣訪問描述文件的問題正變得越來越嚴(yán)重。舉個(gè)例子，Carbon Black 最近發(fā)布的報(bào)告描述了 Smominru 加密貨幣挖掘僵尸網(wǎng)絡(luò)，但該僵尸網(wǎng)絡(luò)不僅挖掘加密貨幣，還挖掘各類敏感信息，包括內(nèi)部 IP 地址、域信息、用戶名和密碼。Carbon Black 的研究人員認(rèn)為，該黑客組織 “極有可能” 將這些信息放到 “訪問市場” 上售賣，以便買家此后運(yùn)用遠(yuǎn)程訪問發(fā)起自己的攻擊。

這些訪問市場為網(wǎng)絡(luò)罪犯購買系統(tǒng)和公司的訪問權(quán)限/憑證提供了一條便捷通道。該報(bào)告的作者稱：“訪問權(quán)失竊的系統(tǒng)可能會(huì)被當(dāng)做僵尸主機(jī)用在大規(guī)模攻擊中，或者被當(dāng)成針對性攻擊的入口點(diǎn)。”終極匿名服務(wù) (UAS: Ultimate Anonymity Services) 就是這樣一個(gè)訪問市場，平均 6.75 美元就能買到一個(gè)訪問憑證，而整個(gè)市場上提供有 3.5 萬個(gè)憑證。

Carbon Black 研究人員表示，網(wǎng)絡(luò)罪犯將會(huì)更善加利用訪問市場和訪問挖掘技術(shù)，因?yàn)檫@實(shí)在是“太有利可圖”了。如果被盜用戶憑證擁有高于所需的權(quán)限，那公司面臨的風(fēng)險(xiǎn)也會(huì)隨之上升。

訪問控制策略：重點(diǎn)考慮

絕大多數(shù)安全人員都清楚訪問控制對自家公司的重要性。但訪問控制該如何實(shí)施，就沒那么容易取得共識(shí)了。訪問控制要求在沒有傳統(tǒng)邊界的動(dòng)態(tài)世界中實(shí)現(xiàn)一致的策略。我們絕大多數(shù)人都在混合環(huán)境中工作，數(shù)據(jù)從公司服務(wù)器或云端流向辦公室、家里、酒店、車中，以及提供開放 WiFi 熱點(diǎn)的咖啡館。這就令訪問控制的實(shí)施很是棘手了。

除此之外，設(shè)備種類和數(shù)量的暴增也增加了風(fēng)險(xiǎn)暴露面，比如 PC、筆記本電腦、智能手機(jī)、平板電腦、智能音箱和其他物聯(lián)網(wǎng) (IoT) 設(shè)備。設(shè)備多樣性讓創(chuàng)建和保持訪問策略一致性成為了非常現(xiàn)實(shí)的難題。

過去，訪問控制方法常常是靜態(tài)的。如今，網(wǎng)絡(luò)訪問必須是動(dòng)態(tài)和流動(dòng)的，要支持身份和基于應(yīng)用的用例。

高級(jí)訪問控制策略應(yīng)可動(dòng)態(tài)調(diào)整，以響應(yīng)不斷進(jìn)化的風(fēng)險(xiǎn)因素，使已被入侵的公司能夠隔離相關(guān)員工和數(shù)據(jù)資源以控制傷害。

企業(yè)必須確保其訪問控制技術(shù)受到云資產(chǎn)和應(yīng)用的一致支持，并能夠無縫遷移到私有云等虛擬環(huán)境。訪問控制規(guī)則必須依據(jù)風(fēng)險(xiǎn)因素而改變，也就是說，公司企業(yè)應(yīng)在現(xiàn)有網(wǎng)絡(luò)及安全配置基礎(chǔ)之上，部署運(yùn)用人工智能 (AI) 和機(jī)器學(xué)習(xí)的安全分析層。實(shí)時(shí)識(shí)別威脅并相應(yīng)自動(dòng)化調(diào)整訪問控制規(guī)則也是公司企業(yè)應(yīng)努力實(shí)現(xiàn)的。

四種訪問控制

公司企業(yè)應(yīng)根據(jù)所處理數(shù)據(jù)的類型及敏感程度，確定應(yīng)采用哪種訪問控制模型。舊有訪問控制模型包括自主訪問控制 (DAC) 和強(qiáng)制訪問控制 (MAC)，基于角色的訪問控制 (RBAC) 模型是現(xiàn)今最常用的，而最新的模型是基于屬性的訪問控制 (ABAC)。

• 自主訪問控制 (DAC)：DAC 模型中，數(shù)據(jù)擁有者決定訪問權(quán)。DAC 是基于用戶指定的規(guī)則分配訪問權(quán)限的一種方式。
• 強(qiáng)制訪問控制 (MAC)：MAC 采用非自主模型發(fā)展而來，基于信息許可授予用戶訪問權(quán)限。MAC 是基于中央權(quán)威的規(guī)則分配訪問權(quán)限的一種策略。
• 基于角色的訪問控制 (RBAC)：RBAC 基于用戶的角色授予訪問權(quán)限，并實(shí)現(xiàn)關(guān)鍵安全原則，比如“最小權(quán)限原則”和“權(quán)限分離原則”。因此，嘗試訪問信息的用戶只能訪問其角色所需的必要數(shù)據(jù)。
• 基于屬性的訪問控制 (ABAC)：ABAC 模型中，每個(gè)資源和用戶都被賦予一系列屬性。該動(dòng)態(tài)方法中，資源訪問權(quán)限決策是根據(jù)對用戶屬性的比較評估做出的，比如時(shí)間、位置和職位等。

公司企業(yè)應(yīng)根據(jù)數(shù)據(jù)敏感性和數(shù)據(jù)訪問運(yùn)營需求，來確定哪一種模型是最適合自己的。尤其是處理個(gè)人可識(shí)別信息 (PII) 或其他敏感信息(如健康保險(xiǎn)流通與責(zé)任法案 (HIPAA) 或《受控非密信息》 (CUI) 數(shù)據(jù))的公司企業(yè)，必須將訪問控制當(dāng)做自身安全架構(gòu)的關(guān)鍵部分加以構(gòu)建。

訪問控制解決方案

有很多技術(shù)可以支持多種訪問控制模型。某些情況下，只有協(xié)同使用多種技術(shù)才可以達(dá)成所需訪問控制等級(jí)。

數(shù)據(jù)廣布于云服務(wù)提供商和軟件即服務(wù) (SaaS) 應(yīng)用上，且接入傳統(tǒng)網(wǎng)絡(luò)邊界的現(xiàn)實(shí)，意味著需編排一個(gè)安全的解決方案。當(dāng)前多家供應(yīng)商提供的特權(quán)訪問和身份管理解決方案，均可以集成進(jìn)傳統(tǒng)微軟活動(dòng)目錄 (AD) 架構(gòu)。多因子身份驗(yàn)證也可用作進(jìn)一步增強(qiáng)安全的措施。

為什么授權(quán)依舊棘手?

如今，大部分公司企業(yè)已擅長身份驗(yàn)證，尤其是在多因子身份驗(yàn)證和生物特征識(shí)別身份驗(yàn)證(比如人臉識(shí)別或虹膜識(shí)別)的幫助下。最近幾年，由于重大數(shù)據(jù)泄露造成被盜密碼憑證在暗網(wǎng)上售賣，安全人員更加重視多因子身份驗(yàn)證了。

但授權(quán)卻仍是安全人員常常搞砸的一個(gè)領(lǐng)域。新手很難確定并持續(xù)監(jiān)測誰具有哪些數(shù)據(jù)資源的訪問權(quán)，應(yīng)怎樣訪問數(shù)據(jù)資源，以及何種情況下可以授予訪問權(quán)。不一致的授權(quán)協(xié)議或弱授權(quán)協(xié)議卻能制造安全漏洞，不盡快發(fā)現(xiàn)和修復(fù)就會(huì)造成重大損失的那種。

說到監(jiān)視，無論公司選擇哪種訪問控制實(shí)現(xiàn)方法，其實(shí)施都必須受到持續(xù)監(jiān)視，要符合公司安全策略和運(yùn)營方針，能識(shí)別潛在安全漏洞。公司企業(yè)應(yīng)定期執(zhí)行治理、風(fēng)險(xiǎn)及合規(guī)審核。執(zhí)行訪問控制功能的每個(gè)應(yīng)用都需要反復(fù)接受漏洞掃描，應(yīng)收集和監(jiān)視每次訪問的日志以發(fā)現(xiàn)策略違反事件。

今天的復(fù)雜 IT 環(huán)境中，訪問控制應(yīng)被視為運(yùn)用高級(jí)工具的動(dòng)態(tài)技術(shù)基礎(chǔ)設(shè)施，反映移動(dòng)性增長等網(wǎng)絡(luò)環(huán)境變化，識(shí)別我們所用設(shè)備的改變及其固有風(fēng)險(xiǎn)，并考慮云遷移風(fēng)潮的影響。

Carbon Black 的訪問挖掘報(bào)告：

https://www.carbonblack.com/resources/threat-research/access-mining/

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文