红帽全球峰会访问控制的定义与重要性
访问控制是一项安全授权技术,用于确定用户或系统可以查看或使用 IT 基础架构中的哪些特定资源。
它是网络安全防护措施的重要组成部分,其基本目标是保护敏感信息免遭未经授权的访问。访问控制的实现方式是,先验证用户或系统凭据的合理性,然后根据其角色或权限等级,授予其适当级别的访问权限。企业组织可以利用实时监控、合规性和审查等多种机制,确保访问控制系统能够改善安全防护措施并减少威胁。
访问控制的类型
访问控制模式有六种常见类型。各个模式管理用户权限的方式如下:
基于角色的访问控制(RBAC)
该模式根据用户所分配的角色和职责来授予或拒绝其访问权限。这些角色决定了用户可以访问哪些资源,而系统管理员可以基于用户所分配的角色直接管理访问权限。RBAC 支持角色层次结构,较高级别的角色还可以继承较低级别角色的访问权限,从而有助于简化管理工作。例如,“员工”角色的用户,其权限或许相对有限,如只读或文件共享访问权限,而“经理”角色的用户除了拥有“员工”角色的所有权限外,还具备额外的访问权限。RBAC 遵循最低特权原则(PoLP),这是零信任安全防护的基础。
基于规则的访问控制(RuBAC)
在此模式中,是否授予访问权限取决于一组预先设定的规则,而这些规则主要考虑单个用户的标准或条件。在实施过程中,将确定用户特定需求、制定身份与访问管理(IAM)策略来定义满足这些需求的规则,以及应用相关条件来增强安全性。规则通常依据访问时间、IP 地址、多重身份验证等条件来设定。例如,只有在工作时间内,用户已安全登录虚拟专用网络(VPN),或者仅在本地应用范围内操作时,才会授予访问权限。
强制访问控制(MAC)
这项安全技术根据系统管理员设定的固定强制策略和规则来执行访问限制,而且用户无法修改这些权限。通过禁止用户对访问权限进行修改,便可确保敏感信息按照严格的安全协议得到保护。在此系统中,每个用户都会分配有一个预先确定的安全级别,资源则根据其敏感程度进行分类。访问权限的授予与否,取决于用户的安全级别是否与资源的分类级别相匹配或高于该级别。
需要明确的是,MAC 并不是基于角色和基于规则的合体。尽管执行强制性规则是 MAC 的核心功能,但它不允许用户(无论其安全级别如何)控制访问权限,而且安全级别并非由用户角色决定。不过,在某些数据安全防护系统中,MAC 可以与 RBAC 概念相结合。
自主访问控制(DAC)
这是一种灵活的资源安全管理系统,由资源所有者自行决定授予或撤销用户的访问权限。当用户在其个人云中创建或上传文件时,他们可以针对每个文件设定权限,决定文件是公开可见、仅对特定用户可见,或是设为私有,仅供文件所有者使用。此类访问控制在文件系统中较为常见,资源所有者可随时更新权限设置或取消用户的访问权限。
基于属性的访问控制(ABAC)
ABAC 会基于用户、资源和环境等多重属性,并同时评估这些属性以做出访问决策。例如,当用户提供凭据以登录云服务时,系统会从其个人资料中检索相关属性,如角色或权限。然后,系统会识别资源属性,如文件类型、所有权和敏感度;以及上下文属性,如访问时间、用户位置以及用户是否在安全网络中请求访问。之后,系统将综合评估这些属性是否符合安全防护策略,并据此决定是否授予访问权限。
访问控制列表(ACL)
ACL 列表用于定义用户或系统的权限,以及在访问资源后可执行的操作。该列表通常由系统管理员创建和管理,但也有一些自动化系统能够根据预设的规则或策略自动生成 ACL。
无论您是需要一种还是多种访问控制系统,ACL 都是您 IT 基础架构中不可或缺的重要组成部分。请根据您的安全防护和合规性需求进行评估,以确定哪种访问控制模型最适合您的企业组织。
为什么选择红帽来实现 DevSecOps?
访问控制列表的定义与工作原理
访问控制列表(ACL)是一组访问规则,可用于规定在某个计算机环境中,哪些用户或实体有权访问或无权访问特定的文件或资源。更具体地讲,ACL 可充当与系统资源相关联的过滤器。例如,当用户尝试访问某个资源时,系统会检查与该资源相关联的 ACL,并将用户的身份与 ACL 中列出的内容进行比对。如果系统找到匹配的记录,便会授予用户具有特定权限的访问许可。如果没有匹配项,则会拒绝访问请求。与防火墙类似,ACL 基于规则运行,并依据预先设定的标准来评估访问请求。不过,ACL 用于指定用户权限,而防火墙则用于制定批准或拒绝网络流量的规则。
ACL 有两种类型:
文件系统 ACL:此方法用于定义和管理文件系统中的内容和目录,并过滤文件的访问权限。基于预先设定的规则,文件系统 ACL 会告知操作系统哪些用户能够获得访问权限,以及他们在系统内所拥有的特权。
网络 ACL:此方法可在路由器、交换机和防火墙等网络设备中过滤访问请求,并通过指定哪些流量可以访问网络以及进入网络后允许执行的活动来管理安全防护措施。
这一基础安全防护功能可应用于任何安全防护或路由设备,以此简化用户或系统的身份识别过程,并管理它们与敏感信息的交互方式。
ACL 与 RBAC 有何不同?
尽管 ACL 与 RBAC 都是管理资源的方法,但它们的运作方式有所不同。ACL 在较低的数据安全防护层级上为单个用户设置权限,而 RBAC 系统则由监管管理员在企业组织层级进行安全管控。RBAC 可提供一种更广泛的方法来基于用户角色简化安全管理,ACL 则可以在不影响用户角色的情况下,按资源针对每个用户制定更精细的规则。
RBAC 对于有着明确角色划分的企业组织而言堪称理想之选。在监控管理员的协助下,它能够充当整个公司范围级的安全系统,发挥出色作用。ACL 则在对单个资源进行精细控制方面表现最佳,并且能够灵活便捷地管理访问权限。究竟选择哪一种方法,在很大程度上取决于您企业组织的结构和安全防护需求,如合规性和监管审计等方面。潜在的审计工作包括查明有多少用户或未经授权的流量拥有系统管理员访问权限。有了资源管理功能,您就可以更轻松地分析和审查数据安全性,确保您的企业组织始终合规。
为什么要以自动化技术辅助实施访问控制?
若无 IT 自动化的支持,企业组织便不得不进行手动操作访问控制,这会延长生产时间、增加运维成本,还会带来未经授权的访问等诸多安全漏洞。实现自动化可简化用户置备、系统更新、访问审查和审计报告生成等日常任务,从而减少人为错误并加快执行速度,而且这是在手动完成的情况下难以实现的。随着公司的发展,自动化有助于管理日益增加的数据和用户,并通过实现实时检测和威胁响应来加强安全防护。
实施自动化补丁管理及安全信息和事件管理(SIEM),并结合访问控制机制,可以最大限度地减少 IT 安全防护流程中的人为错误,并提高合规水平。补丁管理解决方案可以与自动化软件相结合,用于修复执行访问控制策略的系统或应用中已知的漏洞。另一方面,SIEM 自动化可通过实时分析访问模式来检测异常,并在事件发生时自动向安全防护团队发出警报。SIEM 还会自动生成审计日志,并跟踪和存储访问活动,以满足合规性要求。
通过以自动化技术辅助访问控制,企业能够有效地实施最低特权访问策略,同时确保访问权限与组织需求保持一致。
为什么选择红帽 Ansible 自动化平台?
红帽® Ansible® 自动化平台可帮助您实现手动任务的自动化,并加快价值实现时间,同时协助您以现代企业所需的规模、复杂性和灵活性来实施自动化。自动化控制器是 Ansible 自动化平台的控制平面,允许管理员跨团队定义、运维和委派自动化任务。它提供了精细的内置 RBAC 功能,并可与企业身份验证系统集成,以确保自动化满足安全性与合规性标准。安全运维团队还可以使用 Ansible 自动化平台来管理其他企业应用,例如 SOAR 解决方案。
如果您希望在容器编排中提高 IAM 的安全性、合规性和运维效率,红帽 OpenShift® 可以帮助您管理用户对容器集、节点和整个集群的访问。红帽 OpenShift 是一个企业就绪的混合云应用平台,让您能够管理、部署和扩展容器化应用,同时利用强大的 Kubernetes 组件,包括 Kubernetes RBAC 等安全防护功能。
实现自动化的企业
阅读这本电子书,解锁自动化的强大力量,彻底改变 IT 服务领域,包括网络、基础架构、安全、DevOps 和边缘。
