訪問控制驗證使用者身份，並授予使用者訪問許可範圍內資訊的許可權。

誰能訪問公司的資料？怎樣確保嘗試訪問的人切實得到授權？何種情況下拒絕有許可權使用者的訪問請求？

為有效保護資料，公司訪問控制策略必須解決這些（但不侷限於這些）問題。以下內容便是訪問控制基礎知識導引：訪問控制是什麼？為什麼訪問控制很重要？哪些組織機構最需要訪問控制？安全人員將面對何種挑戰？

訪問控制是什麼？

訪問控制是一套身份驗證和許可權管理機制，用於保證使用者是其所聲稱的身份，以及授予使用者訪問公司資料的恰當許可權。

從高階層面上看，訪問控制是資料訪問許可權的選擇性限制。訪問控制由兩個主要部分組成：身份驗證與授權。

身份驗證是核實某人為其所宣稱身份的一種技術，其本身並不足以保證資料安全。想要保證資料安全，還需要新增額外的安全層——授權。授權用以確定使用者是否能夠訪問其所要求的資料，或者執行其所嘗試的交易。

**沒有身份驗證與授權，就沒有資料安全。**每一起資料洩露事件中，訪問控制總是最先被調查的策略。無論是敏感資料意外暴露而被終端使用者不當獲取，還是敏感資料經由公開伺服器上軟體漏洞而暴露的 Equifax 資料洩露事件，訪問控制都是其中的關鍵部分。只要沒有恰當實現或維護好訪問控制，其結果都有可能是災難性的。

凡是員工需要連線網際網路的公司企業——也就是當今所有公司企業，都需要某種程度的訪問控制。有員工在外工作，且需要訪問公司資料資源與服務的公司企業，更應重視訪問控制策略實現。

換句話說，但凡你的資料對沒有恰當授權的人有任何價值，那你的公司就需要強訪問控制。

強訪問控制的另一原因：訪問挖掘

在暗網上收集與售賣訪問描述檔案的問題正變得越來越嚴重

這些訪問市場為網路罪犯購買系統和公司的訪問許可權/憑證提供了一條便捷通道。該報告的作者稱：“訪問權失竊的系統可能會被當做殭屍主機用在大規模攻擊中，或者被當成針對性攻擊的入口點。”終極匿名服務 (UAS: Ultimate Anonymity Services) 就是這樣一個訪問市場，平均 6.75 美元就能買到一個訪問憑證，而整個市場上提供有 3.5 萬個憑證。

Carbon Black 研究人員表示，網路罪犯將會更善加利用訪問市場和訪問挖掘技術，因為這實在是“太有利可圖”了。如果被盜使用者憑證擁有高於所需的許可權，那公司面臨的風險也會隨之上升。

訪問控制策略：重點考慮

絕大多數安全人員都清楚訪問控制對自家公司的重要性。但訪問控制該如何實施，就沒那麼容易取得共識了。訪問控制要求在沒有傳統邊界的動態世界中實現一致的策略。我們絕大多數人都在混合環境中工作，資料從公司伺服器或雲端流向辦公室、家裡、酒店、車中，以及提供開放 WiFi 熱點的咖啡館。這就令訪問控制的實施很是棘手了。

除此之外，裝置種類和數量的暴增也增加了風險暴露面，比如 PC、膝上型電腦、智慧手機、平板電腦、智慧音箱和其他物聯網 (IoT) 裝置。裝置多樣性讓建立和保持訪問策略一致性成為了非常現實的難題。

過去，訪問控制方法常常是靜態的。如今，網路訪問必須是動態和流動的，要支援身份和基於應用的用例。

高階訪問控制策略應可動態調整，以響應不斷進化的風險因素，使已被入侵的公司能夠隔離相關員工和資料資源以控制傷害。

企業必須確保其訪問控制技術受到雲資產和應用的一致支援，並能夠無縫遷移到私有云等虛擬環境。訪問控制規則必須依據風險因素而改變，也就是說，公司企業應在現有網路及安全配置基礎之上，部署運用人工智慧 (AI) 和機器學習的安全分析層。實時識別威脅並相應自動化調整訪問控制規則也是公司企業應努力實現的。

四種訪問控制

公司企業應根據所處理資料的型別及敏感程度，確定應採用哪種訪問控制模型。舊有訪問控制模型包括自主訪問控制 (DAC) 和強制訪問控制 (MAC)，基於角色的訪問控制 (RBAC) 模型是現金最常用的，而最新的模型是基於屬性的訪問控制 (ABAC)。

1. 自主訪問控制 (DAC)

DAC 模型中，資料擁有者決定訪問權。DAC 是基於使用者指定的規則分配訪問許可權的一種方式。

2. 強制訪問控制 (MAC)

MAC 採用非自主模型發展而來，基於資訊許可授予使用者訪問許可權。MAC 是基於中央權威的規則分配訪問許可權的一種策略。

3. 基於角色的訪問控制 (RBAC)

RBAC 基於使用者的角色授予訪問許可權，並實現關鍵安全原則，比如“最小許可權原則”和“許可權分離原則”。因此，嘗試訪問資訊的使用者只能訪問其角色所需的必要資料。

4. 基於屬性的訪問控制 (ABAC)

ABAC 模型中，每個資源和使用者都被賦予一系列屬性。該動態方法中，資源訪問許可權決策是根據對使用者屬性的比較評估做出的，比如時間、位置和職位等。

公司企業應根據資料敏感性和資料訪問運營需求，來確定哪一種模型是最適合自己的。尤其是處理個人可識別資訊 (PII) 或其他敏感資訊（如健康保險流通與責任法案 (HIPAA) 或《受控非密資訊》 (CUI) 資料）的公司企業，必須將訪問控制當做自身安全架構的關鍵部分加以構建。

訪問控制解決方案

有很多技術可以支援多種訪問控制模型。某些情況下，只有協同使用多種技術才可以達成所需訪問控制等級。

資料廣佈於雲服務提供商和軟體即服務 (SaaS) 應用上，且接入傳統網路邊界的現實，意味著需編排一個安全的解決方案。當前多家供應商提供的特權訪問和身份管理解決方案，均可以整合進傳統微軟活動目錄 (AD) 架構。多因子身份驗證也可用作進一步增強安全的措施。

為什麼授權依舊棘手？

如今，大部分公司企業已擅長身份驗證，尤其是在多因子身份驗證和生物特徵識別身份驗證（比如人臉識別或虹膜識別）的幫助下。最近幾年，由於重大資料洩露造成被盜密碼憑證在暗網上售賣，安全人員更加重視多因子身份驗證了。

但授權卻仍是安全人員常常搞砸的一個領域。新手很難確定並持續監測誰具有哪些資料資源的訪問權，應怎樣訪問資料資源，以及何種情況下可以授予訪問權。不一致的授權協議或弱授權協議卻能製造安全漏洞，不盡快發現和修復就會造成重大損失的那種。

說到監視，無論公司選擇哪種訪問控制實現方法，其實施都必須受到持續監視，要符合公司安全策略和運營方針，能識別潛在安全漏洞。公司企業應定期執行治理、風險及合規稽核。執行訪問控制功能的每個應用都需要反覆接受漏洞掃描，應收集和監視每次訪問的日誌以發現策略違反事件。

今天的複雜 IT 環境中，訪問控制應被視為運用高階工具的動態技術基礎設施，反映移動性增長等網路環境變化，識別我們所用裝置的改變及其固有風險，並考慮雲遷移風潮的影響。

Carbon Black 的訪問挖掘報告下載：https://www.carbonblack.com/resources/threat-research/access-mining/

相關閱讀

• Authing 是什麼以及為什麼需要 Authing
• 我們為什麼堅持做 ToB 的慢生意
• Authing 知識庫

原文連結：https://www.aqniu.com/learn/54554.html 作者：nana 星期六, 八月 31, 2019

什麼是 Authing？

Authing 提供專業的身份認證和授權服務。 我們為開發者和企業提供用以保證應用程式安全所需的認證模組，這讓開發人員無需成為安全專家。 你可以將任意平臺的應用接入到 Authing（無論是新開發的應用還是老應用都可以），同時你還可以自定義應用程式的登入方式（如：郵箱/密碼、簡訊/驗證碼、掃碼登入等）。 你可以根據你使用的技術，來選擇我們的 SDK 或呼叫相關 API 來接入你的應用。當用戶發起授權請求時，Authing 會幫助你認證他們的身份和返回必要的使用者資訊到你的應用中。

<div align=center>Authing 在應用互動中的位置</div>

• 官網：http://authing.cn
• 小登入：https://wxapp.authing.cn/#/
• 倉庫：** 歡迎 Star，歡迎 PR **
  • https://gitee.com/Authi_ng
  • https://github.com/authing
• Demo：
  • https://sample.authing.cn
  • https://github.com/Authing/qrcode-sample
• 文件：https://docs.authing.cn/authing/

歡迎關注 Authing 技術專欄