访问控制验证并授权个人访问允许查看和使用的信息。
谁应该访问公司数据?你如何确保所有试图访问的人都得到授权?在什么情况下应该拒绝拥有权限的用户访问数据?
为了有效保护数据,公司的访问控制策略必须解决上述和其他问题。然后遵循访问控制的几个基本原则:什么是访问控制?为什么访问控制很重要?哪些企业最需要访问控制?安全人员在实施和维护访问控制时会面临哪些问题?
访问控制定义
从更高的层次来看,访问控制是一系列选定的数据访问规则。有两个主要组件:身份验证和授权。
身份验证是一种用于验证给定用户是否是他声称的那个人的技术。身份验证本身不足以保护数据,还需要授权技术来确定用户是否可以访问数据或执行他们试图执行的操作。
也就是说,访问控制基本上是一种确定用户身份及其权限的技术。
访问控制对整个数据安全有多重要?
没有认证和授权,就没有数据安全。每次数据泄露事件,调查时首先要检查的是访问控制策略。无论是终端用户的疏忽导致敏感数据的意外暴露,还是Equifax等公共Web服务器的软件漏洞导致敏感数据泄露,访问控制都是关键因素。如果不正确实施和维护访问控制,可能会导致灾难性的后果。
什么类型的企业最需要访问控制?
只要公司的员工需要访问互联网,公司就需要访问控制。换句话说,当今世界的每家公司都需要一定程度的访问控制,尤其是当员工外出工作,需要访问公司的数据资源和服务时。
或者,如果公司数据对未授权人员有一定价值,公司需要实施访问控制。
实施访问控制的五大挑战
1.需要一致的策略
大多数安全人员都明白访问控制对公司的重要性,但对于如何实施访问控制却有不同的意见。访问控制需要在动态环境中实施一致的策略。如今,大多数人在混合环境中工作,数据从内部服务器或云通过开放的WiFi热点流向办公室、家庭、酒店、汽车和咖啡馆。这种流动性使得访问控制政策变得困难。
而且,随着PC、笔记本电脑、智能手机、平板电脑、智能音箱等物联网设备等接入设备的增加,接入策略的创建和维护难度加大,风险也在增加。
2.确定最合适的控制模式。
企业必须根据所处理数据的类型和敏感性来确定最合适的访问控制模型。旧的访问模型包括自由访问控制和强制访问控制。在数模转换器模型下,数据所有者决定访问权限。DAC是根据用户指定的规则分配访问权限的一种方式。
MAC以非自治模式开发,根据信息权限授予用户访问权限。媒体访问控制是一种基于中央权威规则分配访问权限的策略。
目前,基于角色的访问控制(RBAC)是最常用的访问控制模型。RBAC根据用户的角色分配访问权限,并实施关键的安全原则,如最低权限原则和权限分离原则。因此,试图访问信息的用户只能访问执行自己的角色和功能所需的那部分数据。
最新的模型叫做基于属性的访问控制(ABAC)。每个资源和用户都被赋予一系列属性,几乎所有的用户属性,如时间、位置和位置都被比较和评估,以确定用户是否可以访问某个资源。
公司必须根据数据敏感性和运营要求来确定哪种模式最适合他们。特别是,处理个人身份信息(PII)或其他敏感信息类型的公司,如涉及《健康保险流通与责任法案》 (HIPPA)和受控非机密信息(CUI)数据的公司,必须将访问控制设置为公司安全架构的核心功能。
3.可能需要多种访问控制解决方案。
有许多技术支持各种访问控制模型。在某些情况下,可能需要多种技术协同工作来实现所需的访问控制级别。如今,数据广泛分布在云服务和SaaS应用中,并连接到传统的网络边界,这一事实决定了必须安排一个协作安全解决方案。许多供应商提供特权访问和身份管理解决方案,可以集成到传统的活动目录(AD)中。多因素身份验证也可以用作进一步加强安全性的组件。
4.在一些企业中,授权仍然是jxdc的脚跟。
如今,大多数企业都擅长使用认证,越来越多的企业使用基于生物特征识别的多因素认证和认证技术(如人脸识别或虹膜识别)。近年来,随着大规模数据泄露导致暗网出售被盗密码证书,安全人员更加关注多因素认证的需求。
授权仍然是安全人员经常出错的领域。例如,对于安全人员来说,确定并持续监控哪些数据资源由谁在什么条件下以什么方式访问是一个巨大的挑战。但是,不一致或薄弱的许可协议可能会导致安全漏洞,必须尽快修复。
说到监控,无论公司选择如何实施访问控制,都必须持续监控,以发现潜在的安全漏洞,无论是合规性还是运营。企业必须定期进行监管审查、风险评估和合规性审查,并反复扫描执行访问控制功能的应用程序的漏洞。他们还应收集和监控每次访问的日志,以验证政策的有效性。
5.访问控制策略应该是可动态修改的。
过去,访问控制方法通常是静态的。如今,网络访问必须是动态的,应该支持基于身份和应用的用例。
先进的访问控制策略能够动态适应不断发展的风险因素,使被入侵的公司能够隔离相关员工和数据资源,将对公司的危害降到最低。
p>公司企业必须确保自己的访问控制技术受到云资产和应用的支持,可以平滑迁移到私有云之类虚拟环境。访问控制规则必须基于风险因素而变,也就是说,企业必须在现有网络和安全配置的基础上用AI和机器学习技术来部署安全分析层,还需要实时识别威胁并自动化访问控制规则。访问控制的底线
在今天的复杂IT环境中,应将访问控制看做是采用最先进的工具、反映工作环境中的改变、识别所用设备的改变及其带来的风险,并考虑到向云端的迁移的动态技术基础设施。