数据访问控制是数据安全中的一个重要概念,因为它是关于根据精心设计的策略来限制对数据的访问。数据访问控制的两个主要组成部分是身份验证和授权。身份验证验证用户的身份,而授权确定他们的访问级别和他们可以执行的操作。
为什么需要数据访问控制?
访问控制对于维护安全性、遵守监管标准和加强问责制至关重要。通过限制对授权人员的访问,组织可以防止盗窃、损坏或未经授权使用资源,有效地管理员工访问,为合法目的创建审计跟踪,并通过自动验证节省时间和资源。访问控制是任何有效的安全和风险管理策略的重要组成部分。
根据Varonis 的2018 年全球数据风险报告,41% 的公司拥有超过 1,000 个敏感文件向所有人(组织内的每个员工)开放。允许在未经适当授权的情况下访问敏感信息,无疑会增加数据泄露的风险。根据上述报告,IT 专业人员大约需要 8-6 个小时来识别和删除每个文件夹的全局访问组。花费这么长时间的原因是他们必须确定哪些用户需要访问哪些资源,这有时可能涉及采访员工以确定他们拥有什么访问权限以及他们需要什么访问权限。因此,实施访问控制应该是一个持续的过程。
数据访问控制方法
实现数据访问控制有四种主要模型:
- 自主访问控制 (DAC):这是限制最少的模型,依靠资源的所有者或管理员来确定谁应该有权访问给定资源。它为设置权限提供了完全的自由裁量权,但使监控对敏感信息的访问变得具有挑战性。
- 强制访问控制 (MAC):此方法依赖于中央授权机构(例如管理员)来授予和撤销访问权限。最终用户无法控制权限设置,因此难以管理。MAC 常用于军事组织。
- 基于角色的访问控制 (RBAC):通过这种方法,员工可以根据他们的工作职能和职责获得不同的访问权限。它是围绕由部门、个人职责和权限等标准定义的预定角色而设计的。
- 基于属性的访问控制 (ABAC):这是一种动态数据访问控制模型,其中根据属性和环境条件(例如位置和时间)授予访问权限。ABAC 提供了比 RBAC 更大的灵活性,允许在不修改主体/客体关系的情况下动态更改访问控制。
如何实现数据访问控制
要实施数据访问控制,公司应首先确定全局访问组并将其替换为严格管理的安全组,并测试所有更改以避免出现问题。他们必须确保根据最小权限 (PoLP) 原则授予访问权限,该原则规定用户只能访问他们履行其职责所需的资源。这还应该包括即时 (JIT) 访问,以确保在不再需要时立即撤销访问。
以下是一些额外的提示,可帮助您实施数据访问控制:
制定访问控制策略
策略应定义如何授予、批准、修改、审查和撤销访问权限。应该记录组织中存在的角色,以及与这些角色相关的职责。还需要记录组织内的账户类型,例如来宾用户、标准用户、特权用户、系统、服务等。
对您的敏感数据进行分类
准确了解拥有的数据、数据所在的位置以及数据的敏感程度,将使分配适当的访问控制变得容易得多。数据分类软件将扫描存储库,无论是内部部署的还是基于云的,并对找到的数据进行分类。有些解决方案甚至可以在创建/修改时对数据进行分类,有些可以根据相关数据保护法对数据进行分类。
监控对您数据的访问
必须持续监控账户是否存在可疑行为。实时更改审核软件将能够了解账户是如何被访问和使用的。许多复杂的解决方案使用机器学习模型来识别异常,并将实时警报发送到收件箱或移动设备。他们还将提供一个直观的仪表板,以帮助审查访问控制,并识别过度特权的账户。
使用多重身份验证
多因素身份验证 (MFA) 是一种安全机制,要求用户在被授予访问系统或敏感数据之前提供多种形式的身份验证。MFA 通常涉及以下至少两个因素:用户知道的东西(例如密码或 PIN)、用户拥有的东西(例如智能卡或手机)或用户是什么东西(例如生物识别码)例如指纹或面部识别)。MFA 是降低敏感信息未经授权访问风险的有效方法。
