什麼是存取控制?| 授權與認證

存取控制是一組規則,用於確定誰有權存取受限位置或受限資訊。

學習目標

閱讀本文後,您將能夠:

  • 定義存取控制
  • 區分實際存取控制和資訊存取控制
  • 說明 VPN 和 Zero Trust 安全性解決方案之間的區別

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是存取控制?

存取控制

存取控制是一個安全性字詞,指代一組用於限制對資訊、工具和實際位置的存取的原則。

什麼是實際存取控制?

儘管本文重點介紹資訊存取控制,但實際存取控制是一個有用的比較,有助於理解整個概念。

實際存取控制是一組原則,用於控制誰有權進入實際位置。實際存取控制的實際範例包括:

  • 酒吧保鏢
  • 地鐵自動檢票門
  • 機場海關人員
  • 公司辦公室的門卡或識別證掃描器

在所有這些範例中,個人或裝置遵循一組原則來決定誰可以進入受限制的實際位置。例如,酒店門卡掃描器僅向擁有酒店鑰匙的授權客人授予進入權限。

什麼是資訊存取控制?

資訊存取控制限制對資料和用於操作該資料的軟體的存取。範例包括:

  • 使用密碼登入筆記型電腦
  • 使用指紋掃描解鎖智慧型手機
  • 使用 VPN 遠端存取雇主的內部網路

在所有這些情況下,軟體都用於對需要存取數位資訊的使用者進行驗證和授權。驗證和授權是資訊存取控制的組成部分。

驗證和授權之間有何區別?

驗證是一種確認某人是其所聲稱之身分的安全性做法,而授權則是確定向每個使用者授予何種存取權限等級的過程。

例如,假設一個旅行者正在辦理酒店入住。當他們在前台登記時,被要求出示護照以證明其姓名確實與預訂單上相符。這是驗證的一個範例。

酒店員工對客人進行驗證后,客人就會收到一張權限有限的門卡。這是授權的一個範例。客人的門卡可以讓他們進入自己的房間、客人電梯和游泳池,但不能進入其他客人的房間或服務電梯。另一方面,酒店員工被授權進入比客人更多的酒店區域。

電腦和網路系統具有類似的驗證和授權控制。當使用者登入其電子郵件或線上銀行帳戶時,他們使用只有他們應該知道的登入名稱和密碼組合。軟體使用此資訊對使用者進行驗證。某些應用程式的授權要求比其他應用程式要嚴格得多;雖然密碼對於一些應用程式來說已經足夠,但其他應用程式可能要求雙重驗證,甚至指紋或面部 ID 掃描等生物特徵確認。

通過驗證后,使用者只能看到他們有權存取的資訊。對於線上銀行帳戶,使用者只能查看與其個人銀行帳戶相關的資訊。同時,銀行的基金經理可以登入同一應用程式並查看銀行整體金融資產的資料。由於銀行處理非常敏感的個人資訊,因此完全有可能任何人都無法不受限制地存取資料。即使是銀行行長或安全性主管也可能需要經過某種安全性通訊協定,才能存取個人客戶的全部資料。

存取控制的主要類型有哪些?

驗證過程完成後,可以透過以下某種方式確定使用者授權:

強制存取控制 (MAC):強制存取控制為單個使用者以及他們被允許存取的資源、系統或資料建立嚴格的安全性原則。這些原則由管理員控制;單個使用者無權以與現有原則相矛盾的方式設定、更改或撤銷權限。

在此系統下,必須為主體(使用者)和物件(資料、系統或其他資源)指派相似的安全屬性,以便彼此互動。回到前面的範例,銀行行長不僅需要正確的安全許可才能存取客戶資料檔案,而且系統管理員還需要指定這些檔案可以由行長檢視和更改。雖然這個過程可能看起來多餘,但它確保使用者無法透過獲得某些資料或資源的存取權來執行未經授權的動作。

基於角色的存取控制 (RBAC)基於角色的存取控制基於群組(定義的一組使用者,例如銀行員工)和角色(定義的一組動作,如銀行櫃員或分行經理可能執行的動作)建立權限。個人可以執行指派給其角色的任何動作,且可以根據需要被指派多個角色。與 MAC 一樣,使用者不允許變更已指派給其角色的存取控制級別。

例如,任何被指派到銀行櫃員角色的銀行員工都可能被授權處理帳戶交易和開設新客戶帳戶。另一方面,分行經理可能擁有多個角色,授權他們處理帳戶交易、開設客戶帳戶、將銀行櫃員的角色指派給新員工等。

選擇性存取控制 (DAC):一旦使用者被授予存取物件的權限(通常由系統管理員或透過現有存取控制清單授予),他們就可以根據需要向其他使用者授予存取權限。但是,這可能會引入安全漏洞,因為使用者能夠在沒有系統管理員嚴格監督的情況下確定安全性設定和共用權限。

在評估哪種使用者授權方法最適合組織時,必須考慮安全性需求。通常,需要高級別資料機密性的組織(如政府組織、銀行等)將選擇更嚴格的存取控制形式,如 MAC,而那些傾向於更大靈活性以及基於使用者或角色授予權限的組織將傾向於 RBAC 和 DAC 系統。

實作存取控制的方法有哪些?

一種流行的資訊存取控制工具是虛擬私人網路 (VPN)。VPN 服務允許遠端使用者像連接到私人網路一樣存取網際網路。企業網路通常使用 VPN 來管理跨地理距離的內部網路的存取控制。

例如,如果一家公司在舊金山有一家辦事處,在紐約也有一家辦事處,同時還有分散在全球各地的遠端員工,則可以使用 VPN,以便其所有員工都可以安全地登入到他們的內部網路,而不論其身在何處。如果員工連接到公用 WiFi 網路,連接到 VPN 還有助於保護員工免受中間人攻擊

VPN 也有一些缺點。例如,VPN 會對效能產生負面影響。當連接到 VPN 時,使用者傳送或接收的每個封包在到達目的地之前都要多走一段路,因為每個請求和回應在到達目的地之前都要經過 VPN 伺服器。這個過程通常會增加延遲

VPN 通常提供一種全有或全無的網路安全方法。VPN 擅長提供驗證,但不擅長提供精細的授權控制。如果組織想要向不同的員工授予不同層級的存取權限,則必須使用多個 VPN。這會產生很多複雜性,並且仍然不能滿足 Zero Trust 安全性的要求。

什麼是零信任安全性?

Zero Trust 安全性是一種 IT 安全性模型,要求針對嘗試存取私人網路資源的所有人員和裝置執行嚴格的身分驗證,無論其位於網路周邊之內還是之外。Zero Trust 網路也利用微分段。微分段是一種將安全性周邊劃分為小型區域,以分別維護對網路各部分之存取的做法。

如今,許多組織正在使用 Cloudflare Zero Trust 之類的 Zero Trust 安全性解決方案取代 VPN。Zero Trust 安全性解決方案可用於管理辦公室和遠端員工的存取控制,同時避免 VPN 的主要缺點。