访问控制是一组规则,旨在确定谁有权进入受限的位置或访问受限的信息。
阅读本文后,您将能够:
复制文章链接
访问控制是一个安全术语,指一组用于限制对信息、工具和物理位置的访问的策略。
虽然本文的重点是信息访问控制,但物理访问控制是一个有用的比较,有助于理解整个概念。
物理访问控制是一组策略,用于控制谁可以进入一个物理位置。下面是现实生活中的一些物理访问控制示例:
在所有这些示例中,人员或设备遵循一组策略来决定谁有权进入受限的物理位置。例如,酒店钥匙卡扫描器仅允许持有酒店钥匙的授权客人进入房间。
信息访问控制限制对数据和用于操作该数据的软件的访问,以下为部分示例:
所有这些情形中都使用软件对需要访问数字信息的用户进行身份验证和授权。身份验证和授权都是信息访问控制的组成部分。
身份验证是一种确认某人是其所声称之身份的安全实践,而授权则是确定向每个用户授予何种访问权限等级的过程。
例如,假设一个旅行者正在办理酒店入住。他们在前台登记时,被要求出示护照以证明其姓名确实与预订单上相符。这是身份验证的一个示例。
一旦酒店员工验证了客人的身份,客人就会收到一张权限有限的门禁卡。这是授权的一个示例。客人的门禁卡可以让他们进入自己的房间、客人电梯和游泳池,但不能进入其他客人的房间或服务电梯。另一方面,酒店员工被授权访问比客人更多的酒店区域。
计算机和网络系统具有相似的身份验证和授权控制。当用户登录其电子邮件或在线银行帐户时,他们使用只有本人应该知道的登录名和密码组合。软件使用此信息对用户进行身份验证。有些应用程序的授权要求比其他应用程序严格得多;虽然密码对于一些应用程序已经足够,但其他应用程序可能要求双因素身份验证,甚至指纹或面容 ID 扫描等生物特征确认。
通过身份验证后,用户只能看到他们有权访问的信息。对于在线银行帐户,用户只能看到与其个人银行帐户有关的信息。同时,银行的基金经理可以登录同样的应用程序,并查看有关银行金融资产的数据。由于银行处理非常敏感的个人信息,所以有可能没有任何人能够无限制地访问数据。甚至银行的行长或安全主管也可能需要经过某种安全协议,才能访问个体客户的全部数据。
在身份验证过程完成后,可以通过以下某种方式确定用户的授权:
强制性访问控制 (MAC):强制性访问控制为个人用户和他们被允许访问的资源、系统或数据建立严格的安全策略。这些策略由管理员控制;个人用户没有权力以与现有策略相矛盾的方式设置、改变或撤消权限。
在这个系统下,主体(用户)和客体(数据、系统或其他资源)都必须被赋予相似的安全属性,以便彼此互动。回到前面的例子,银行行长不仅需要正确的安全许可才能访问客户数据文件,而且系统管理员还需要指定这些文件可以由行长查看和修改。虽然这个过程看起来多余,但它确保用户无法通过获得某些数据或资源的访问权来执行未经授权的操作。
基于角色的访问控制 (RBAC):基于角色的访问控制基于组(定义的用户集,例如银行员工)和角色(定义的操作集,例如银行柜员或分行经理可能执行的操作)建立权限。个人可以执行分配给他们角色的任何操作,并且可以根据需要分配多个角色。与 MAC 一样,用户无权更改分配给其角色的访问控制级别。
例如,任何被分配到银行柜员角色的银行员工都可能被授权处理帐户交易和开设新的客户帐户。另一方面,分行经理可能担任多个角色,授权他们处理帐户交易、开设客户帐户、将银行柜员的角色分配给新员工等等。
自主访问控制 (DAC):一旦用户被授予访问对象的权限(通常由系统管理员或通过现有的访问控制列表授予),他们就可以根据需要向其他用户授予访问权限。然而,这可能会引入安全漏洞,因为用户能够在没有系统管理员严格监督的情况下确定安全设置并共享权限。
在评估哪种用户授权方法最适合一个组织时,必须考虑到安全需求。通常,对数据保密性要求高的组织(如政府组织、银行等)会选择更严格的访问控制形式,如 MAC;而那些喜欢更灵活以及基于用户或角色授予权限的组织则倾向于 RBAC 和 DAC 系统。
一个流行的信息访问控制工具是虚拟专用网络 (VPN)。VPN 是一种能让远程用户像连接到专用网络一样访问互联网的服务。公司网络通常使用 VPN 对跨地理距离访问其内部网络进行访问控制管理。
例如,如果一家公司在旧金山有一家办事处,在纽约也有一家办事处,同时还有分散在全球各地的远程员工,则可以使用 VPN,以便其所有员工都可以安全地登录到他们的内部网络,而不论其身在何处。如果员工连接到公共 WiFi 网络,连接到 VPN 还有助于保护员工免受在途攻击。
VPN 也有一些弊端。例如,VPN 对性能有负面影响。当连接到 VPN 时,用户发送或接收的每个数据包在到达目的地之前都要多走一段路,因为每个请求和响应在到达目的地之前都要经过 VPN 服务器。这个过程通常会增加延迟。
VPN 通常提供全有或全无的网络安全方法。VPN 擅长提供身份验证,但不擅长提供精细的授权控制。如果组织要向不同员工授予不同级别的访问权限,则必须使用多个 VPN。这不仅带来许多复杂性,而且仍然不能满足零信任安全要求。
零信任安全是一种 IT 安全模型,要求试图访问专用网络上资源的每一个人和每台设备(无论位于网络边界之内还是之外)都必须进行严格的身份验证。Zero Trust 网络也利用微分段。微分段是一种将安全边界划分为小区域的做法,以分别维护对网络各个部分的访问。
如今,许多组织都在使用 Zero Trust 安全解决方案(如 Cloudflare Zero Trust)取代 VPN。Zero Trust 安全解决方案可用于管理办公室内和远程员工的访问控制,还能避免使用 VPN 的主要缺点。