访问控制验证和授权个人访问他们被允许查看和使用的信息。谁应该有权访问公司数据?您如何确保任何试图访问的人都获得授权?在什么情况下应拒绝授权用户访问数据?为了有效地保护数据,公司的访问控制策略必须解决这些问题和其他问题。然后遵循访问控制的基本原则:什么是访问控制?为什么访问控制很重要?哪些企业最需要访问控制?安全人员在实施和维护访问控制时会面临哪些问题?在高层次上,访问控制是一组精选的数据访问规则。它有两个主要组件:身份验证和授权。身份验证是用于验证给定用户是否是他声称的身份的技术。身份验证本身不足以保护数据;还需要授权技术来确定用户是否可以访问数据或执行尝试的操作。也就是说,访问控制基本上是一种用于确定用户是谁以及他们拥有什么特权的技术。其次,访问控制对整体数据安全有多重要?没有认证和授权,就没有数据安全。对于每一起数据泄露事件,调查时首先要检查的是访问控制策略。无论是终端用户的疏忽导致敏感数据意外暴露,还是像Equifax这样的公共Web服务器软件漏洞导致敏感数据泄露,访问控制都是一个关键因素。如果没有正确实施和维护访问控制,后果可能是灾难性的。3、什么类型的企业最需要访问控制?只要公司的员工需要上网,公司就需要访问控制。换句话说,当今世界的每家公司都需要某种程度的访问控制,尤其是当公司员工不在家并且需要访问公司数据资源和服务时。或者,如果公司数据对未授权方有一定价值,则公司需要实施访问控制。4.实施访问控制的五个关键挑战1.需要一致的政策大多数安全人员都明白访问控制对公司的重要性,但是对于如何实施访问控制,每个人都有不同的看法。访问控制需要在动态环境中执行一致的策略。在当今世界,大多数人在混合环境中工作,数据通过开放的WiFi热点从内部服务器或云端流向办公室、家庭、酒店、汽车和咖啡店。这种流动性使得访问控制策略的现实变得困难。而且,随着连接设备数量的增加,例如PC、笔记本电脑、智能手机、平板电脑、智能扬声器和其他物联网设备,访问策略的创建和持续维护变得更加困难和冒险。2.确定最合适的控制模型企业必须根据正在处理的数据的类型和敏感性确定最合适的访问控制模型。传统访问模型包括自主访问控制(DAC)和强制访问控制(MAC)。在DAC模型下,数据所有者决定访问权限。DAC是一种根据用户指定的规则分配访问权限的方法。MAC采用非自治模型开发,根据信息权限授予用户访问权限。MAC是一种根据中央机构的规则分配访问权限的策略。如今,基于角色的访问控制(RBAC)是最常用的访问控制模型。RBAC根据用户的角色分配访问权限,并执行关键的安全原则,例如“最小权限原则”和“权限分离原则”。因此,试图访问信息的用户只能访问履行其职责所需的数据部分。最新模型称为基于属性的访问控制(ABAC)。每个资源和用户都被分配了一系列的属性,几乎是对用户属性的比较评价,比如时间、职位、位置等,以确定用户是否可以访问资源。.组织必须根据数据敏感性和运营需求来确定最适合他们的模型。特别是处理个人身份信息(PII)或其他敏感信息类型的公司,例如涉及《健康保险流通与责任法案》(HIPPA)和受控非机密信息(CUI)数据的公司,必须将访问控制设置为公司安全架构的核心功能。3.可能需要多种访问控制解决方案有多种技术支持各种访问控制模型。在某些情况下,可能需要多种技术协同工作才能实现所需的访问控制级别。数据现在广泛分布在云服务和SaaS应用程序中并连接到传统网络边界这一事实决定了必须协调协调的安全解决方案。一些供应商提供可以集成到传统ActiveDirectory(AD)中的特权访问和身份管理解决方案。多因素身份验证也可以作为一个组件来进一步加强安全性。4、授权仍然是部分企业的软肋如今,大多数企业已经熟练使用身份验证,并越来越多地采用多因素身份验证和基于生物特征的身份验证技术(如人脸识别)。或虹膜识别)。近年来,由于大量数据泄露导致被盗密码凭证在暗网上出售,安全专业人员更加重视多因素身份验证的需求。授权仍然是安全人员经常出错的领域。例如,识别并持续监控哪些数据资源正在被谁访问、在什么条件下以何种方式访问??是安全人员面临的主要挑战。但不一致或弱的授权协议会造成必须尽快修复的安全漏洞。说到监控,无论公司选择如何实施访问控制,都必须持续监控潜在的安全漏洞,包括合规性和运营。企业必须定期进行监管审查、风险评估和合规审查,并对执行访问控制功能的应用程序反复进行漏洞扫描。他们还应该收集和监控每次访问的日志,以验证策略的有效性。5.访问控制策略应该是动态可修改的,而访问控制方法通常是静态的。然而,今天,网络访问必须是动态的,支持基于身份和应用程序的用例。先进的访问控制策略动态适应不断变化的风险因素,允许受到威胁的公司隔离员工和数据资源,以最大限度地减少对公司的损害。企业必须确保其访问控制技术得到云资产和应用程序的支持,并能够顺利迁移到私有云等虚拟环境。访问控制规则必须根据风险因素进行更改。也就是说,企业必须利用人工智能和机器学习技术,在现有网络和安全配置的基础上,部署一个安全分析层。他们还需要实时识别威胁并自动执行访问控制规则。5.访问控制的底线在当今复杂的IT环境中,访问控制应被视为采用最先进的工具,反映工作环境的变化,识别所用设备的变化及其带来的风险,并考虑到用于云迁移的动态技术基础架构。【本文为专栏作家“李少鹏”原创文章,转载请通过平安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
