权限管理的进阶之路
发布时间 2022-11-02导语
企业信息化建设离不开权限管理,且随着数字化程度的不断加深,企业对权限管理的细粒度及需求度也急速提升。如何让权限管理系统成为企业高效治理与信息安全的利器?本文通过对各权限管理模型的特点、应用场景及发展趋势进行分析,为企业权限管理建设提供信息参考。
日常工作中,权限问题时刻伴随着我们。新员工入职,公司需为其开通门禁、网络连接、OA系统登录、服务器访问等各种权限;工作中,随着员工部门、职级、工作范围的变化,其各种权限也随之改变。每次权限申请、变更,都需要走审批流程,并耗费一定时间和人力进行管理,十分麻烦。既然如此,为什么众多企业仍采用严格的权限管理制度,而不是取消或采用简单的权限管理以减轻企业IT负担?
举个例子,一家企业有数百台服务器、交换机、防火墙,划分了测试环境、生产环境、研发环境等,并将设备的访问及控制权限给到了每一位员工。假若测试人员不小心在生产环境执行了一个reboot命令,重启了设备,则会导致对应的业务系统中断。而如果企业采用了严格的权限管理把设备管理权限加以细分,就能在很大程度上避免生产事故的发生。
因此,不同的岗位、级别设置不同权限十分必要,如:涉及交换机、防护墙等网络设备的操作权限,可以只开放给网络管理的相关岗位;涉及数据库、应用程序、日志等相关信息查看权限,可以只开放给运维的相关岗位;严格的权限管理已成为企业数据安全、生产安全的重要保证。
ACL——早期基础模型
较早的基础权限管理模型是ACL(Access Control List 访问控制列表)。它是一种基于包过滤的访问控制技术,可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。在应用层面来看,常见的交换机、路由器等网络访问策略配置,采用的就是ACL控制,控制列表包含源IP、目的IP、源端口、目的端口、控制(允许或者拒绝)等元素。当然,Linux设备也是ACL权限控制的实践者,一条ACL条目可以指定某个账号对某个文件或文件夹的读写执行权限。借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
ACL作为权限管理的根基,可以对某一特定资源拥有访问权限的所有用户实施授权管理,具有存储结构简单、查询效率高等优点。但对于拥有大量用户与众多资源的应用,ACL数据量级大、授权麻烦等缺陷却显露无疑,这时管理访问控制列表变成了十分繁重的工作,且单纯的ACL权限管理不易实现最小权限原则及复杂的安全策略。因此,基于角色的访问控制权限模型RBAC应运而生。
RBAC——权限管理的进阶
RBAC(Role-Based Access Control,基于角色的访问控制)权限模型,是ACL的进阶。RBAC采用预定义的角色,拥有一组与其相关联的特定权限,并分配这些权限。授权时,将某个用户与某个角色关联(授权),这个用户就拥有了这个角色所定义的权限,从而极大地降低了权限管理的复杂度。
例如,一个被分配了数据库管理员角色的主体,有权限访问普通数据库账号所能访问的数据表。在这个模型中,访问权限是由分配角色的人预先确定的,在确定与每个人相关联的特权时,由被访问对象的所有者明确地确定每个人的角色。每个用户可以拥有多个角色,每个角色拥有多条授权。
启明星辰集团35及357系列堡垒机采用的就是RBAC授权模型,新建用户、资产后,先在策略管理中新建一条访问策略,然后去选择用户组或者单一运维用户,再选择资产。在形成的访问策略下,策略可以被认为一个角色,当选择的用户组或者资产业务管理组新增用户或资产,自动和策略进行绑定,而无需人工干预。
启明星辰集团468系列堡垒机中,为了更进一步的细化授权及策略,在同一角色下,可以添加不同协议不同资产,细分人-资源-服务-策略。如在老版本堡垒机中,一个用户拥有root及test两个管理账号,以便其在运维时同时选择,不受限制。例如,在新版本堡垒机中,我们可以将root新建为特权角色,test新建为普通角色。在特权角色中禁止在非工作时间登录(时间策略),或者登录该账号需要二次登录审批(登录策略)。在普通角色中禁止这个账号执行rm -rf 命令(命令策略),从而使权限控制更加严格和准确。
RBAC权限管理解决了对大量权限的分配问题,减轻了策略维护工作,且学习成本以及使用成本均较低,适合中小型企业及组织。由于RBAC授权模型中,用户与角色的绑定关系是固定的,无法满足大型组织对角色和授权关系的细粒度维护及动态管理需求,更高阶的权限管理模型ABAC应时而生。
ABAC——权限管理的未来
ABAC(Attribute-Based Access Control,基于属性的权限验证)访问控制利用了一组称为 “属性”的特征,这包括用户属性(如用户的姓名、角色、组织、ID和安全许可等内容)、环境属性(如访问时间、数据的位置和当前组织的威胁等级)和资源属性(如创建日期、资源所有者、文件名和数据敏感性)。在进行授权时,根据企业制定的顶层安全策略,动态地去查询用户的属性,然后根据这些属性赋予相应的访问权限。
RBAC与ABAC之间最大的区别就是前者是静态的、后者是动态的;前者的用户权限是预先设定的,后者的用户权限是根据企业安全策略和用户当时的属性计算出来的。在RBAC授权模型的基础上再加上属性,就可以形成ABAC的授权模型。所以从另一方面来说,ABAC可以看作RBAC的延续和加强。
ABAC授权模型理论上能够实现非常灵活的权限控制,几乎能满足所有类型的需求,特别是用户数量多且授权比较复杂的场景。基于ABAC以及RBAC授权模型,启明星辰集团提出了4A零信任解决方案:以身份为中心,通过持续认证、动态授权、全面审计等手段,帮助企业实现业务安全访问。
1、 以身份为中心:为网络中的人、设备、应用都赋予逻辑身份,并以身份为访问的主体进行权限设置和判定,而非以网络位置为访问控制的依据;
2、 业务安全访问:所有的访问都应该被加密和强制访问控制,并通过可信应用代理为用户访问业务应用进行保护。3、 动态细粒度访问控制:所有访问权限不是静态的,而是动态调整的。根据主体属性、客体属性、环境属性实现动态的、风险感知的可信访问控制。4、持续信任度量:持续的风险和信任度量支持动态访问控制,并通过可信环境感知对终端环境风险进行度量。
京公网安备11010802024551号