資料是企業最重要的資產之一。為了保護敏感資訊,您不僅要對各個雲端資料和環境資產的存取加以限制,還必須驗證嘗試存取資料的個人身分的真實性。
資料存取控制是一種基本安全工具,可讓您根據原則組合限制存取權。實行健全的資料存取原則有助於防止個人身分資訊 (Personally Identifiable Information , PII)、智慧財產權及其他機密資訊落入圖謀不軌者的手中,不論是內部或外部人員。
資料存取控制是如何運作的?
資料存取控制會驗證使用者的身分,證實他們真的是自己所聲稱的人,並確保使用者具有正確的資料存取權。資料存取控制的兩個主要組成要素是:
- 驗證:確認使用者的身分,這可以透過多因子驗證機制(Multi-Factor Authentication , MFA)來完成
- 授權:根據指定原則來決定每個使用者的資料存取級別,以及使用者所能執行的操作
為了確保資料存取控制發揮實效,整個組織的驗證和授權應用必須保持一致,不論是本地端或雲端皆然。
資料存取控制模型
資料存取控制有四種主要應用模型:
自主存取控制 (Discretionary Access Control , DAC):DAC 是限制性最小的資料存取控制模型,依據資源的擁有者或管理員來決定誰具有存取權限。此模型是去中心化的,使用者能夠與他人共享存取權,導致難以監督誰在存取公司的敏感資訊。
在 DAC 模型中,終端使用者(End User , 例如建立檔案或資料夾的人)可以自主全權決定要如何設定權限特權,也可以將權限移轉給其他使用者。這種模型有其固有的安全性問題,像是容易受到特洛伊木馬病毒(Troy Virus)及其他惡意軟體攻擊的入侵。
強制存取控制 (Mandatory Access Control , MAC):在強制存取控制模型中,終端使用者完全無法控制權限設定。由中央機構(如管理員或擁有者)負責控制存取、設定、變更和撤銷權限。
MAC 模型是根據資料分類,以及使用者具備的安全許可層級或正式存取核准來決定如何授予存取權。雖然管理起來並不容易,但軍方組織常會使用此方法。
角色型存取控制 (Role-Based Access Control , RBAC):此模型是根據權限組合來授予存取權,這些權限取決於該使用者類別履行日常職務所需的存取層級。在 RBAC 中,不同的員工根據職能和職責等標準獲得不同的存取特權。
RBAC 是廣為使用的存取控制系統,結合了角色指派與授權和權限。整個機制的運作是以根據成本中心、業務單位、個人職責和職權等標準所定義的預先定義角色為中心。只要人員的職責、工作或職能發生異動,管理員即會將系統中預先定義的新角色指派給該使用者。
屬性型存取控制 (Attribute-Based Access Control , ABAC):ABAC 是一種動態資料存取控制模型,根據屬性和環境條件(包含位置和時間等因素)授予存取權。這些屬性和條件除了指派給使用者之外,也會指派給資料或其他資源。
與 RBAC 相比,ABAC 提供了更多的靈活性,因為您可以修改屬性及屬性值,無需變更主體/客體關係。這表示當您做出新的存取決策時,您可以動態變更存取控制。
實行資料存取控制
為了簡化資料存取控制的管理,許多組織都有實行身分與存取管理 (Identity and Access Management , IAM)之類的平台。使用 IAM 解決方案的優勢包括:
- 對整個組織的資料進行集中且一體化的管控
- 自動化佈建等工作
- 利用《一般資料保護規範》(GDPR)、《健康保險可攜與責任法》(HIPAA)、《支付卡產業資料安全標準》(PCI DSS) 及《加州消費者隱私保護法》(CCPA) 等規章,簡化法遵作業
最後總結
資料安全既複雜卻又至關重要。隨著您的環境日益複雜及威脅不斷演變,持續執行資料存取原則尤其重要。決定使用何種解決方案時,應考量到該解決方案必須能夠簡化資料存取控制流程,同時可透過層層把關來監控惡意或不當存取。
SailPoint 是身分安全的領導廠商,透過提供資料可視性和管控機制,協助企業確保其關鍵資料資產的存取安全。深入瞭解SailPoint的檔案存取管理工具。
