首頁 > 關于我們 > 新聞動態 > 深度解讀

權限管理的進階之路

發布時間 2022-11-02

導語


企業信息化建設離不開權限管理,且隨著數字化程度的不斷加深,企業對權限管理的細粒度及需求度也急速提升。如何讓權限管理系統成為企業高效治理與信息安全的利器?本文通過對各權限管理模型的特點、應用場景及發展趨勢進行分析,為企業權限管理建設提供信息參考。


日常工作中,權限問題時刻伴隨著我們。新員工入職,公司需為其開通門禁、網絡連接、OA系統登錄、服務器訪問等各種權限;工作中,隨著員工部門、職級、工作范圍的變化,其各種權限也隨之改變。每次權限申請、變更,都需要走審批流程,并耗費一定時間和人力進行管理,十分麻煩。既然如此,為什么眾多企業仍采用嚴格的權限管理制度,而不是取消或采用簡單的權限管理以減輕企業IT負擔?


舉個例子,一家企業有數百臺服務器、交換機、防火墻,劃分了測試環境、生產環境、研發環境等,并將設備的訪問及控制權限給到了每一位員工。假若測試人員不小心在生產環境執行了一個reboot命令,重啟了設備,則會導致對應的業務系統中斷。而如果企業采用了嚴格的權限管理把設備管理權限加以細分,就能在很大程度上避免生產事故的發生。


因此,不同的崗位、級別設置不同權限十分必要,如:涉及交換機、防護墻等網絡設備的操作權限,可以只開放給網絡管理的相關崗位;涉及數據庫、應用程序、日志等相關信息查看權限,可以只開放給運維的相關崗位;嚴格的權限管理已成為企業數據安全、生產安全的重要保證。


ACL——早期基礎模型


較早的基礎權限管理模型是ACL(Access Control List 訪問控制列表)。它是一種基于包過濾的訪問控制技術,可以根據設定的條件對接口上的數據包進行過濾,允許其通過或丟棄。在應用層面來看,常見的交換機、路由器等網絡訪問策略配置,采用的就是ACL控制,控制列表包含源IP、目的IP、源端口、目的端口、控制(允許或者拒絕)等元素。當然,Linux設備也是ACL權限控制的實踐者,一條ACL條目可以指定某個賬號對某個文件或文件夾的讀寫執行權限。借助于訪問控制列表,可以有效地控制用戶對網絡的訪問,從而最大程度地保障網絡安全。



ACL作為權限管理的根基,可以對某一特定資源擁有訪問權限的所有用戶實施授權管理,具有存儲結構簡單、查詢效率高等優點。但對于擁有大量用戶與眾多資源的應用,ACL數據量級大、授權麻煩等缺陷卻顯露無疑,這時管理訪問控制列表變成了十分繁重的工作,且單純的ACL權限管理不易實現最小權限原則及復雜的安全策略。因此,基于角色的訪問控制權限模型RBAC應運而生。


RBAC——權限管理的進階


RBAC(Role-Based Access Control,基于角色的訪問控制)權限模型,是ACL的進階。RBAC采用預定義的角色,擁有一組與其相關聯的特定權限,并分配這些權限。授權時,將某個用戶與某個角色關聯(授權),這個用戶就擁有了這個角色所定義的權限,從而極大地降低了權限管理的復雜度。

 

例如,一個被分配了數據庫管理員角色的主體,有權限訪問普通數據庫賬號所能訪問的數據表。在這個模型中,訪問權限是由分配角色的人預先確定的,在確定與每個人相關聯的特權時,由被訪問對象的所有者明確地確定每個人的角色。每個用戶可以擁有多個角色,每個角色擁有多條授權。


啟明星辰集團35及357系列堡壘機采用的就是RBAC授權模型,新建用戶、資產后,先在策略管理中新建一條訪問策略,然后去選擇用戶組或者單一運維用戶,再選擇資產。在形成的訪問策略下,策略可以被認為一個角色,當選擇的用戶組或者資產業務管理組新增用戶或資產,自動和策略進行綁定,而無需人工干預。



啟明星辰集團468系列堡壘機中,為了更進一步的細化授權及策略,在同一角色下,可以添加不同協議不同資產,細分人-資源-服務-策略。如在老版本堡壘機中,一個用戶擁有root及test兩個管理賬號,以便其在運維時同時選擇,不受限制。例如,在新版本堡壘機中,我們可以將root新建為特權角色,test新建為普通角色。在特權角色中禁止在非工作時間登錄(時間策略),或者登錄該賬號需要二次登錄審批(登錄策略)。在普通角色中禁止這個賬號執行rm -rf 命令(命令策略),從而使權限控制更加嚴格和準確。



RBAC權限管理解決了對大量權限的分配問題,減輕了策略維護工作,且學習成本以及使用成本均較低,適合中小型企業及組織。由于RBAC授權模型中,用戶與角色的綁定關系是固定的,無法滿足大型組織對角色和授權關系的細粒度維護及動態管理需求,更高階的權限管理模型ABAC應時而生。


ABAC——權限管理的未來


ABAC(Attribute-Based Access Control,基于屬性的權限驗證)訪問控制利用了一組稱為 “屬性”的特征,這包括用戶屬性(如用戶的姓名、角色、組織、ID和安全許可等內容)、環境屬性(如訪問時間、數據的位置和當前組織的威脅等級)和資源屬性(如創建日期、資源所有者、文件名和數據敏感性)。在進行授權時,根據企業制定的頂層安全策略,動態地去查詢用戶的屬性,然后根據這些屬性賦予相應的訪問權限。


RBAC與ABAC之間最大的區別就是前者是靜態的、后者是動態的;前者的用戶權限是預先設定的,后者的用戶權限是根據企業安全策略和用戶當時的屬性計算出來的。在RBAC授權模型的基礎上再加上屬性,就可以形成ABAC的授權模型。所以從另一方面來說,ABAC可以看作RBAC的延續和加強。


ABAC授權模型理論上能夠實現非常靈活的權限控制,幾乎能滿足所有類型的需求,特別是用戶數量多且授權比較復雜的場景?;贏BAC以及RBAC授權模型,啟明星辰集團提出了4A零信任解決方案:以身份為中心,通過持續認證、動態授權、全面審計等手段,幫助企業實現業務安全訪問。


1、 以身份為中心:為網絡中的人、設備、應用都賦予邏輯身份,并以身份為訪問的主體進行權限設置和判定,而非以網絡位置為訪問控制的依據;

2、 業務安全訪問:所有的訪問都應該被加密和強制訪問控制,并通過可信應用代理為用戶訪問業務應用進行保護。3、 動態細粒度訪問控制:所有訪問權限不是靜態的,而是動態調整的。根據主體屬性、客體屬性、環境屬性實現動態的、風險感知的可信訪問控制。4、持續信任度量:持續的風險和信任度量支持動態訪問控制,并通過可信環境感知對終端環境風險進行度量。



目前,啟明星辰集團4A零信任解決方案已在政府、金融、運營商、能源、醫療等眾多行業和業務場景中應用落地,為客戶各信息系統的安全、有序、穩定運行提供了堅實的安全保障,深得廣大用戶青睞與認可。


在云大物智移等信息技術不斷突破、融合發展的數字經濟時代,企業更需要與時俱進的安全理念和防護模式為數字化轉型提供保障。作為信息安全領域的領航者,啟明星辰集團將繼續貫徹落實“場景化安全思維”,持續打磨信息安全管控產品和技術方案,為客戶數字化轉型提供高效的安全利器,構建我國數字經濟高質量發展的安全基石。


上一篇 下一篇