描述授权安全技术
对用户进行身份验证时,需要确定他们可以访问的位置以及允许他们查看和触控的内容。 此过程称为“授权”。
假设想在旅馆过夜。 你要做的第一件事是去接待处开始“身份验证过程”。在接待员确认你的身份后,你将获得一张钥匙卡,并可以进入你的房间。 将钥匙卡视为授权过程。 钥匙卡只能让你打开允许你进入的门和电梯,例如你的酒店房间。
在网络安全方面,授权决定了经过身份验证的人对数据和资源的访问级别。 组织使用不同的安全技术来管理授权。
条件性访问
顾名思义,条件访问涉及有条件的访问权限。 考虑条件访问的一种方法是使用 if/then 语句。 如果某事是真,你将获得访问权限,但如果是假,则你将被拒绝。
让我们看看这在 IT 方案中是如何起作用的。 人们越来越多地在家中工作。 因此,他们可能使用自己的个人计算机访问与工作相关的内容。 使用条件访问,组织可以向经过身份验证的用户授予对机密系统(例如工资单)的访问权限,前提是该过程是通过位于其总部的安全公司计算机进行的。 如果经过身份验证的用户试图从家里的个人计算机访问工资系统,他们将被阻止。
最小特权访问
最小特权的概念是向用户授予他们所需的最小权限。 此概念适用于任何与安全相关的设置。
例如,当你登上飞机后,你可以进入主客舱区域以到达你的座位,但乘客不能进入驾驶舱。 此外,如果持有经济舱的机票,则只能进入经济舱区域。 为了提高安全性,每个人都只能进入他们需要的区域。
同样的概念也适用于网络安全背景。 以用户可以访问网络上的公用文件夹为例。 如果用户只需要读取文件,则应为其授予该特定权限。
如果用户没有足够的权限执行其角色,则他们通常会通知管理员。 但他们很少会告诉管理员他们是否拥有过多的权限。 因此,在分配用户权限时,不太可能出现过于谨慎的情况。
通过实施最低权限访问,你可以在出现安全漏洞时减少攻击者的操作。
横向移动
如果攻击者获取了对系统的访问权限,则他们可能会使用遭入侵的帐户来收集更多信息。 这可用于渗入其他系统或获得更高的访问权限。 攻击者可以在系统中移动,查找更多资源,直到达到其目标。 由于攻击者会尝试在不同的部分之间移动,因此最终的攻击不太可能来自于最初的被盗用帐户。
想象一下犯罪分子越过了办公楼的主要接待区安全措施。 然后,他们通常可以在办公楼的其余部分四处移动,进入不同的楼层和办公室。 提供额外的安全层以防范敏感区域入侵非常重要。
例如,许多办公楼需要安全密码才能进入执行团队所在的楼层。 这些楼层的所有办公室都保持锁定状态,只有持有特殊卡的员工才能进入。 很显然,你根本不希望犯罪分子进入你的办公楼。 但是,假设可能会出现安全漏洞并增加额外的安全层来防范这种类型的横向移动,则可以限制损害。
同样的概念也适用于 IT 方案。 首先,使用安全身份验证,以减少攻击者访问系统的几率。 没有系统是万无一失的,但你可以提供额外的安全层。 这些措施将有助于降低闯入系统的攻击者通过横向移动访问其他更敏感资源的可能性。
零信任
零信任是网络安全领域很流行的术语。 这是一种缓解当今经常遇到的常见攻击的方法。
零信任是一种模型,可支持组织通过教导我们“从不信任,始终验证”来提供对其资源的安全访问。它基于采用你已经熟悉的概念的三个原则。
- 显式验证 - 使用零信任,在授予任何访问权限之前,会对每个请求进行完全身份验证和授权。 组织可以同时实施多重身份验证和条件访问,以确保显式验证每个请求。
- 使用最小特权访问 - 如本单元前面所述,最小特权的概念是仅向用户授予其所需的最小权限。 这限制了用户可以造成的损坏并限制横向流动。
- 假定存在安全漏洞 - 通过假定已存在或即将出现安全漏洞,组织可以更好地规划额外的安全层。 这最大限度地减少了攻击者的破坏半径并防止横向移动。
通过采用零信任安全模型,组织可以更好地适应提供资源安全访问的新式分布式工作场所。