描述授權安全性技術

  • 6 分鐘

當您驗證使用者時,您必須決定其能夠前往的位置,以及其能夠看到和觸控的內容。 此程序稱為授權。

假設您想要在旅館待一晚。 您要做的第一件事就是前往接待櫃台,開始「驗證流程」。在接待員確認您的身分之後,您會取得房卡並可前往客房。 請將房卡想成是授權程序。 房卡只能讓您打開允許進出的門和電梯,例如您的旅館客房。

從網路安全性的觀點來看,授權會決定已驗證的人員對您資料和資源所擁有的存取層級。 組織會使用不同的安全性技術來管理授權。

條件式存取

如其名稱所指,條件式存取牽涉到具有條件的存取。 考慮條件式存取的其中一種方式是使用 if/then 陳述式。 如果某個條件為 true,則會獲授與存取權,但如果為 false,則會遭到拒絕。

讓我們看看這如何在 IT 案例中運作。 有越來越多人在家中工作。 因此,他們可能會使用其個人電腦來存取工作相關內容。 透過條件式存取,組織可授權已驗證的使用者只能透過位於其總部的安全公司電腦存取機密系統 (例如薪資)。 如果已驗證的使用者嘗試從家中的個人電腦存取薪資系統,則會遭到封鎖。

最低權限存取權

最低權限的概念是使用者獲授與所需的最低權限。 此概念適用於任何安全性相關設定。

例如,當您登機時,您可以前往主要客艙區入座,但乘客不能進入駕駛艙。 此外,如果您購買經濟艙機票飛行,則只能進入該艙位。 為了改善安全性,每個人只能存取所需的區域。

相同的概念適用於網路安全性內容。 以使用者有權存取網路上的公用資料夾為例。 如果他們只需要讀取檔案,則應該獲授與該特定權限。

如果使用者沒有執行其角色的足夠權限,幾乎一律會通知系統管理員。 不過,如果他們具有過多的權限,則很少會告知系統管理員。 因此,指派使用者權限時,小心方駛萬年船。

藉由實作最低權限存取權,您可以在發生安全性缺口時減少攻擊者的行動。

橫向移動

如果攻擊者取得系統的存取權,他們可能會使用遭入侵的帳戶來收集詳細資訊。 這可用來滲透其他系統或取得更高的存取權。 攻擊者可以在系統中移動,尋找更多資源,直到達到其目標為止。 由於攻擊者會嘗試在不同的區段之間移動,因此最終攻擊不太可能來自初始遭入侵的帳戶。

您可以想成是一棟辦公大樓,其中罪犯通過主要接待區的安檢。 他們接著通常會在大樓其餘部分四處移動,進出不同的樓層和辦公室。 請務必提供額外的安全性層級,以防止敏感性區域遭入侵。

例如,許多辦公大樓需要保全碼,才能進出高階主管團隊所在的樓層。 這些樓層的所有辦公室會保持上鎖,只允許擁有特殊卡片的員工進出。 您顯然完全不想讓罪犯進出大樓。 但藉由假設缺口可能發生,並新增額外的安全性層級來防止這類橫向移動,您就可以限制損害。

相同的概念適用於 IT 案例。 一開始會有安全驗證來減少攻擊者存取您系統的機會。 沒有任何一個系統是萬無一失的,但您可以提供額外的安全性層級。 這些措施有助於減輕入侵您系統的攻擊者可透過橫向移動來存取其他更敏感資源的機會。

零信任

零信任是網路安全性中的流行語。 這是一種方法,可減輕現今所看到越來越常見的攻擊。

零信任是一種模型,讓組織可藉由教導我們「永不信任,永遠驗證」來提供其資源的安全存取。其以三個原則為基礎,採用了您已熟悉的概念。

  • 明確驗證 - 使用零信任,每個要求都會經過完整驗證和授權,再授與任何存取權。 組織可同時實作多重要素驗證和條件式存取,以確保明確驗證每個要求。
  • 使用最低權限存取權 - 如本單元稍早所述,最低權限的概念是只授權使用者所需的最低權限。 這會限制使用者可能造成的損害,並限制橫向流動。
  • 假設缺口 - 藉由假設缺口已發生或即將發生,組織可以更妥善地規劃額外的安全性層級。 這會將攻擊者的入侵範圍降到最低,並防止橫向移動。

藉由採用零信任安全性模型,組織可更妥善地適應現代分散式工作場所,以提供資源的安全存取權。