什么是访问控制?| 授权与身份验证

访问控制是一组规则,旨在确定谁有权访问受限的信息或进入受限的位置。

Share facebook icon linkedin icon twitter icon email icon

访问控制

学习目标

阅读本文后,您将能够:

  • 定义访问控制
  • 区分物理访问控制和信息访问控制
  • 说明 VPN 和零信任安全解决方案之间的区别

什么是访问控制?

Access Control

访问控制是一个安全术语,指代一组用于限制对信息、工具和物理位置的访问的策略。通常,访问控制属于物理访问控制或信息访问控制的范畴。本文将重点探讨后者。

什么是物理访问控制?

虽然本文关注的是信息访问控制,但了解物理访问控制也是一个不错的起点。物理访问控制是一组用于控制谁有权进入某一物理位置的策略。

实践中的物理访问控制示例包括:

  • 吧台保镖
  • 地铁转门
  • 机场报关员
  • 酒店客房钥匙卡扫描器

在所有这些示例中,人员或设备遵循一组策略来决定谁有权进入受限的物理位置。例如,酒店钥匙卡扫描器仅允许持有酒店钥匙的授权客人进入房间。

什么是信息访问控制?

信息访问控制限制对数据以及用于操作该数据的软件的访问。信息访问控制最常在计算机和网络安全中使用。一些示例包括:

  • 用户使用密码登录笔记本电脑
  • 用户通过指纹扫描解锁智能手机
  • Gmail 用户登录电子邮件帐户
  • 远程员工使用 VPN 访问雇主的内部网络

所有这些情形中都使用软件对希望访问数字信息的用户进行身份验证和授权。身份验证和授权都是信息访问控制的组成部分。

身份验证和授权有什么区别?

简而言之,身份验证是一种确认某人是否是其声称的身份的安全实践,而授权则与授予各个用户的访问权限级别有关。

例如,假设一个旅行者正在办理酒店入住。他们在前台登记时,被要求出示护照以证明其姓名确实与预订单上相符。这是身份验证的一个例子。

一旦酒店员工验证了客人的身份,客人便收到具有有限特权的钥匙卡。这就是授权的一个示例。客人的钥匙卡授予他们权限,让他们能够进入其房间、客人电梯和游泳池。这张钥匙卡不能打开其他客人的房间,也不能呼叫服务电梯,因为客人无权进入这些位置。

酒店客房服务部的员工将获得具有更高授权级别的钥匙卡;他们可以进入所有客房、服务电梯、洗衣房和员工休息室。他们仍然无法进入某些敏感区域,如安全中心或现金保险库。同时,酒店的安全负责人拥有可出入酒店任何区域的钥匙卡;他们被授予不受限制的访问权限。

计算机和网络系统具有非常相似的身份验证和授权控制。当用户登录其电子邮件或在线银行帐户时,他们使用只有本人应该知道的登录名和密码组合。软件使用此信息对用户进行身份验证。有些应用程序的授权要求比其他应用程序严格得多;虽然密码对于一些应用程序已经足够,但其他应用程序可能需要 双因素身份验证,甚至指纹或面容 ID 扫描等生物特征确认。

通过身份验证后,用户只能看到他们有权访问的信息。对于在线银行帐户,用户只能看到与其个人银行帐户有关的信息。银行的基金经理可以登录同样的应用程序,并查看有关银行金融资产的数据,他们还可以使用某一工具来代表银行买卖证券。由于银行处理非常敏感的个人信息,所以无人能够无限制地访问数据也是有可能的。甚至银行的行长或安全主管也可能需要经过某种安全协议,才能访问个体客户的全部数据。

身份验证的另一个示例在 TLS 加密期间发生。当 Web 浏览器连接到 HTTPS 网站时,这将触发 TLS 握手,其使用公钥/私钥加密来验证 Web 服务器身份。Web 服务器必须证明其身份,然后浏览器才能下载任何内容以显示给用户。

实现访问控制的方法有哪些?

一个非常流行的信息访问控制工具是虚拟专用网(VPN)。VPN 是一种能让远程用户像连接到专用网络一样访问 Internet 的服务。公司网络通常使用 VPN 对跨地理距离访问其内部网络进行访问控制管理。例如,如果一家公司在旧金山和纽约分别设有一个办事处,并且具有分散于世界各地的远程员工,则可以使用 VPN,以便所有员工都可以安全地登录其内部网络,不论他们身在何处。如果员工连入了公共 WiFi 网络,则连接到 VPN 还可以帮助保护他们免受中间人攻击侵害。

不过,VPN 也有一些缺点。首先,VPN 影响性能。连接到 VPN 时,用户发送或接收的每个数据包都必须经过一段额外的路程才能到达目的地,因为每个请求和响应都必须先到达 VPN 服务器,然后才能到达目的地。这通常会增加延迟。其次,VPN 通常提供网络安全的全有或全无方法。VPN 擅长提供身份验证,但不擅长提供精细的授权控制。这意味着,如果组织要向不同员工授予不同级别的访问权限,则必须使用多个 VPN。这不仅带来许多复杂性,而且仍然不能满足零信任安全要求。

什么是零信任安全?

零信任安全是一种 IT 安全模型,要求试图访问专用网络上资源的每一个人和设备(无论位于网络边界之内还是之外)都必须进行严格的身份验证。零信任网络也利用微分段。微分段是一种将安全边界划分为小区域的做法,以分别维护对网络各个部分的访问。

如今,许多组织都在逐渐放弃 VPN,转而采用零信任安全解决方案,例如 Cloudflare Access。零信任安全解决方案可用于管理办公室内和远程员工的访问控制,还能避免使用 VPN 的主要缺点。