什麼是存取控制?

存取控制是只允許合法使用者存取組織資源的做法。 存取控制過程涉及確定使用者的身份,然後驗證他們是否具有存取資源所需的權限。 存取控制系統可以使用多種方法來實現。

網路安全必檢清單 深入瞭解

門禁控制的重要性

存取控制是網路安全計畫的基石。 如果無法限制授權使用者的訪問,組織就無法保護其資產的機密性、完整性和可用性。

有效的存取控制可以幫助組織:

  • 最大限度地減少安全風險和事故。
  • 防止資料外洩和對敏感資料的未經授權的存取。
  • 遵守合規性要求和內部安全政策。

存取控制如何運作

訪問管理涉及三個主要組成部分。 過程的第一階段是驗證用戶的身份。 此認證過程可以使用各種認證因素來執行,例如使用者名稱和密碼、生物識別或擁有特定裝置。 組織可以透過實施多重身份驗證(MFA) 來增強其身份驗證系統的安全性,多重身份驗證需要兩個或更多不同的因素來驗證使用者的身份。

認證授權後,存取控制系統判斷使用者是否有權存取該資源。 使用者可能被指派某些權限,或者資源可能有允許列表或封鎖列表,指定誰可以或不能存取該資源。

認證授權完成後,確認使用者的身分和使用資源的權限。 此時,他們已被授予存取權限;然而,系統可能會繼續監控他們的活動。 這個過程稱為審核,是身分和存取管理(IAM) AAA 中的第三個 A。

存取控制的類型

可以使用幾種不同的方案來實現存取控制。 一些最常用的包括:

  • 強制存取控制 (MAC): MAC 是一種集中定義存取控制和權限的存取控制系統。 資源被賦予分類等級(絕密、秘密等),並且使用者被分配許可,以定義他們被允許存取的分類等級。
  • 自主存取控制 (DAC): DAC 允許使用者定義其資源的存取控制。 這是 Windows 或 Linux 等作業系統預設使用的模型。
  • 基於角色的存取控制 (RBAC): RBAC 系統定義角色並根據角色的職責為角色指派權限。 然後,可以為使用者指派角色並獲得完成其工作所需的權限。
  • 基於規則的存取控制:基於規則的存取控制根據管理員定義的規則管理對資源的存取。 這允許對存取進行非常精細的控制,因為管理員可以定義存取要求的精確組合。
  • 基於屬性的存取控制 (ABAC): ABAC 根據使用者在組織中的角色和環境條件為使用者的請求指派屬性。 然後,資源具有定義存取所需的屬性組合的規則集。

存取控制策略

存取控制策略是一組定義組織將如何實施存取控制的一般要求。 存取控制策略的一些要素包括:

  • 目的:定義存取控制策略的目標,包括受保護的資產及其安全要求。
  • 存取控制模型:定義系統是否使用 MAC、DAC、RBAC 或 ABAC 來管理存取。
  • 安全實施:指定將用於實施和實施存取控制策略的工具和方法。
  • 實施指南:為實施組織的存取控制策略提供指導和最佳實務。

存取控制最佳實踐

存取控制對於有效的網路安全至關重要。 實施穩健存取控制的一些最佳實務包括:

  • 實施最小權限:最小權限原則 (POLP)規定使用者、應用程式等應僅擁有其角色所需的權限。 實施 POLP 可以降低權限濫用或使用者帳號受損的風險。
  • 無共享帳戶:每個用戶都應該在公司係統、應用程式等上擁有自己的帳戶。 這對於控制對公司資源的存取、展示合規性以及在安全事件發生後進行調查至關重要。
  • 強式身份驗證:使用者身份驗證對於管理對公司資源的存取至關重要。 實施多重身份驗證 (MFA) 和強密碼政策可降低帳戶受損的風險。
  • 零信任:零信任安全策略規定每個存取請求都應單獨評估。 這使組織能夠對所有應用程式實施精細的存取控制,並監控和管理每個存取請求。

使用 Check Point 進行安全存取控制

Implementing effective access control can be difficult, especially in cloud environments. To learn more about securing your cloud environments and implementing access control in the cloud, sign up for a free demo of Check Point’s Check Point Dome9.

Secure Access Service Edge (SASE) enables organizations to implement consistent access management across their entire network ecosystem. Check Point SASE — Check Point’s SASE solution — provides intuitive access management and enterprise-grade threat prevention. Learn more about how Workspace Security Connect can enhance your organization’s access management and cybersecurity with a free demo today.

開始使用

私人訪問 ZTNA

量子 SASE 

Check Point SASE Datasheet

相關主題

網路存取控制 (NAC)
多重身份驗證 (MFA)
Secure Access Service Edge (SASE)
最小特權原則 (POLP)