存取控制的定義
存取控制是不可或缺的安全性元素,決定允許哪些人員在哪些情況下存取特定資料、應用程式和資源。就像透過鑰匙和預先核准的來賓清單保護實體空間一樣,存取控制原則可以保護數位空間。換言之,能夠讓適當的人員進入,並將不當的人員阻絕在外。存取控制原則十分仰賴驗證和授權等技術,能讓組織明確地驗證使用者的真實身分,並且根據這些使用者的裝置、位置、角色等情境,授與適當的存取層級。
存取控制可保護機密資訊 (例如客戶資料和智慧財產權),避免遭受惡意執行者或其他未經授權的使用者竊取。它也能降低員工將資料外流的風險,並遏制 Web 型威脅。大多數安全性導向的組織仰賴身分識別和存取權管理解決方案來實作存取控制原則,而不會以手動的方式管理權限。
不同類型的存取控制
共有四大類型的存取控制,每種類型都會以獨特的方式對敏感性資訊的存取進行管理。
判別存取控制 (DAC)
在 DAC 模式中,受保護系統中的每個物件都有一個擁有者,且擁有者可自行決定將存取權授與使用者。DAC 會根據個別情況提供對資源的控制權。
強制存取控制 (MAC)
在 MAC 模型中,使用者會以出入許可的形式獲得授與的存取權。中央機關會管制存取權限並將它們整理為多個層級,在範圍內以一致的方式進行擴展。此模式在政府和軍事單位中相當常見。
角色型存取控制 (RBAC)
在 RBAC 模式中,會根據定義的業務功能 (而不是個人的身分識別或資歷) 授與存取權限。目標是只為使用者提供執行其工作所需的資料,僅此而已。
屬性型存取控制 (ABAC)
在 ABAC 模式中,會根據屬性和環境條件 (例如時間和位置) 的組合彈性地授與存取權。ABAC 是最精細的存取控制模型,可協助減少角色指派的數量。
存取控制的運作方式
在最簡單的形式中,存取控制包含根據使用者的認證來識別使用者,然後在使用者通過驗證後,授權適當的存取層級。
密碼、PIN、安全性權杖 (甚至生物特徵辨識掃描) 全都是經常用來識別和驗證使用者的認證機制。多重要素驗證 (MFA) 要求使用者必須透過多種驗證方法進行驗證,以新增另一層安全性。
一旦使用者的身分識別通過驗證,存取控制原則就會授與特定權限,並讓使用者能夠繼續他們打算進行的操作。
存取控制的價值
存取控制的目標是要保護敏感性資訊,以免落入惡意執行者的手中。對機密資料的網路攻擊可能會導致嚴重的後果,包括智慧財產權外洩、客戶和員工的個人資訊外洩,甚至導致企業資金損失。
存取控制是安全性策略中至關重要的元件。對於在未經授權的情況下存取其資料 (尤其是儲存在雲端中的資料),希望盡可能降低安全性風險的組織來說,這也是最佳工具之一。
隨著未經授權存取的可疑裝置清單不斷擴大,沒有精密存取控制原則的組織面臨的風險也不斷增加。身分識別和存取權管理解決方案可以簡化這些原則的系統管理工作,但第一步是要辨識控管資料存取方式和時機的需求。
如何實作存取控制
連結目標
對於務必要實作存取控制解決方案的原因,與決策者保持一致的立場。需要這樣做的原因有很多種,其中最重要的一個原因就是降低貴組織的風險。實作存取控制解決方案的其他原因可能包括:
• 生產力: 將應用程式和資料的授權存取授與需要達成其目標的員工,就在員工需要的時候。
• 安全性: 使用在出現威脅時即時呈報的回應原則,保護敏感性資料和資源並減少使用者存取的阻礙。
• 自助式: 委派身分識別管理、密碼重設、安全性監控和存取要求,以節省時間和精力。
選取解決方案
選擇身分識別和存取權管理解決方案,可讓您保護資料並確保絕佳的使用者體驗。理想的情況應該是,為使用者和 IT 部門提供頂級服務,從確保員工能夠順暢進行遠端存取到為系統管理員節省時間。
設定強大的原則
一旦您啟動了您選擇的解決方案,請決定應允許哪些人員存取您的資源、他們應可在哪些情況下存取哪些資源。您可以設計存取控制原則,以透過工作階段控制授與存取權、限制存取權,或甚至封鎖存取權,完全取決於您的企業需求。
過程中您可能會提出的一些問題包括:
• 原則中將包含或排除哪些使用者、群組、角色或工作負載身分識別?
• 此原則適用於哪些應用程式?
• 哪些使用者動作將須遵守此原則?
遵循最佳做法
設定緊急存取帳戶以避免原則設定錯誤時遭到鎖定、將條件式存取原則套用到所有應用程式、在環境中強制執行原則前先進行測試、設定所有原則的命名標準,以及為中斷做好規劃。適當的原則準備就緒後,您就可以稍微安心且輕鬆一點了。
存取控制解決方案
存取控制是一種任何組織都可以實作的基礎安全性措施,可防範資料外洩和外流。
Microsoft 安全性的身分識別和存取權管理解決方案可確保您的資產持續受到保護,即使更多日常操作已逐漸移轉到雲端亦然。
保護重要的內容。
常見問題集
-
在安全性方面,存取控制系統是刻意調節網路、網站和雲端資源等數位資產存取權的任何技術。
存取控制系統會套用驗證和授權等網路安全性原則,以確保使用者的真實身分,並確保他們有權根據預先決定的身分識別與存取原則存取特定資料。
-
雲端式存取控制技術會對組織的整個數位資產強制執行控制,利用雲端的效率進行運作,而不會產生執行和維護昂貴內部部署存取控制系統的成本。
-
存取控制可確保只有身分識別和認證已通過驗證的使用者才能存取特定資訊內容,藉此協助防範資料竊取、損毀或外流。
-
存取控制會選擇性地管制允許哪些人員檢視和使用特定空間或資訊。有兩種類型的存取控制:實體和邏輯。
- 實體存取控制 是指限制對實體位置的存取。若要達成此目標,可使用門鎖和鑰匙等工具、受密碼保護的門禁系統,以及由保全人員進行監督。
- 邏輯存取控制 是指限制對資料的存取。若要達成此目標,可使用網路安全性技術,例如身分識別、驗證和授權。
-
存取控制是現代化零信任安全性理念的功能,它應用明確驗證和最低權限存取權等技術,以協助保護敏感性資訊,以免落入危險分子的手中。
存取控制十分仰賴兩項關鍵原則,也就是驗證和授權:
- 驗證包含根據登入認證 (例如使用者名稱和密碼、生物特徵辨識掃描、PIN 或安全性權杖) 識別某個特定使用者。
- 授權是指按照存取控制原則的決定,提供使用者適當的存取層級。這些程序通常是自動化的形式。
關注 Microsoft 安全性