许多组织尚未投资 PAM 解决方案,因为它们可能成本
授权在身份访问管理 (IAM) 中发挥着重要作用。 IAM 是企业政策和流程安全框架,旨在确保授权用户拥有完成工作所需的必要访问权限。 为您的组织选择正确的授权模式对于保护敏感信息免遭未经授权的访问至关重要。 五种主要授权模式包括基于角色的访问控制、基于属性的访问控制、基于关系的访问控制、自主访问控制和强制访问控制。
继续阅读,详细了解五种不同类型的授权模式,如何为您的组织选择合适的授权模式,以及实施方法。
什么是授权?
授权是身份验证后的流程,它决定着一个用户对数据、应用和网络等系统资源的访问权限。 若要访问组织的网络,用户必须通过身份验证流程证明自己的身份。 用户或机器经过身份验证后,管理员或系统会确定授权的用户对组织内某些资源的访问权限。 授权根据组织的规定来限制对组织资源的访问。 组织将根据资源敏感度和用户需求来确定用户的访问级别。
五种授权模式
授权模式有助于提高组织的工作效率,并防止数据泄漏。 然而,组织使用的授权模式各不相同,这取决于组织对对其复杂性和安全性的需求。 以下是五种不同类型的授权模式。
基于角色的访问控制
基于角色的访问控制 (RBAC) 定义角色和特权来限制仅授权用户可访问系统。 有了 RBAC,组织需要确定敏感数据的权限;谁应该访问此类数据,用户需要多大的访问权限,以及他们需要访问多长时间。 然后,组织需要定义每个成员的角色以及基于其角色所需的权限。 角色由用户的权限、责任和工作能力决定。
RBAC 根据用户在组织内的角色授予他们对特定数据和系统的有限访问权限。 应该仅授予用户完成工作所需的对特定数据和系统的访问权限。 他们不应该访问工作职责以外的任何资源。 RBAC 还会限制用户对他们可以访问的资源所进行的操作。
基于属性的访问控制
基于属性的访问控制 (ABAC) 是更精细的 RBAC 授权模式。 ABAC 根据与用户相关的特定属性,授予用户对组织特定数据和系统的访问权限。 它超越了用户在组织内的角色,寻找其他因素来授权访问。 ABAC 寻找的属性包括用户、设备、环境和用户尝试访问的资源的特征。
基于关系的访问控制
基于关系的访问控制 (ReBAC) 是一种授权模式,根据用户和资源之间的关系授予组织对特定资源的访问权限。 例如,资源的创建者可完全访问并控制它。 然而,创建者来自同一团队的同事可能只能查看资源,但无法编辑。 若与创建者不在同一团队,其同事可能根本不得查看该资源。
强制访问控制
强制访问控制 (MAC) 根据资源的敏感程度来限制访问。 MAC 会设置安全标签和类别,控制哪些用户或系统可以访问特定资源。 它尽可能只授予真正需要访问权限的用户,如管理员。
安全标签中的用户对这些资源的操作权限有限。 他们无法编辑资源,也无法分享对它们的访问权限。 只有组织的管理员才能更改其权限。 低于许可级别的人都无法访问资源。 MAC 主要用于政府机构等拥有高度机密信息的组织。
自主访问权限
自主访问权限 (DAC) 与 MAC 相反,它根据用户和访问组来分配权限。 组织不根据数据敏感级别来确定访问权限,而是由资源所有者以及有权访问该资源的人根据需要向其他用户授予访问权限。 拥有更高权限的用户可以决定其他用户如何使用此类资源。
如何选择合适的授权模式
每个授权模式都不尽相同,适合每个组织的不同需求。 组织需要找到适合自己的授权模式。 以下是为您的组织选择授权模式时需要考虑的因素。
安全要求
组织需要考虑其敏感数据的安全要求。 他们需要评估数据的敏感成都和所需的安全级别。 有些授权模式(如 MAC)的访问级别别其他模式更加严格,可能更适合处理高度机密数据。 其他授权模式(如 DAC)的访问级别更为宽松,更适合敏感度较低的数据。
用户体验
组织需要考虑员工的用户体验。 过于复杂的授权模式会令员工无所适从,适得其反。 甚至可能引起安全问题,因为员工会试图绕过授权协议,提高其使用简易程度。 组织需要选择一个既便于用户理解,又能提供所需安全级别的授权模式。
复杂程度
组织需要考虑它们要实施的授权模式的复杂程度。 组织应研究其所需的安全级别和用户体验,以确定其授权模式的复杂程度。 如果组织可以处理更加复杂、动态的授权模式,就应该选择能够处理复杂情景(如 ABAC 或 ReBAC)的授权模式。 需要直接的授权模式的组织应选择 RBAC。
可扩展性
组织应考虑其授权模式的可扩展性。 它们需要考虑组织的扩大规模,以及它们选择的授权模式是否能够应对其增长水平。 授权模式需要适应当前组织的规模,并有望在未来扩展为更大规模的组织。 ABAC 通常具有高度可扩展性和动态性,以适应不断发展的组织。
使用 Keeper® 实施授权模式
实施授权模式的最佳方式是使用权限访问管理 (PAM) 解决方案。 PAM 是指保护并管理可访问组织高度敏感系统和数据的帐户。 借助 PAM 解决方案,组织可以全面洞悉谁正在访问其网络、应用程序、服务器和设备。 它们可以完全控制谁可以访问其资源、每个用户拥有多大的访问权限,以及特权帐户的密码安全性。 PAM 解决方案有助于组织根据其授权模式确定权限。
KeeperPAM™ 是一种权限访问管理解决方案,结合了 Keeper Enterprise Password Manager (EPM)、Keeper Secrets Manager® (KSM) 和 Keeper Connection Manager® (KCM)。 该平台允许组织对组织内每台设备上的每个特权用户的全面可见性、安全性和控制,确保授予适当的授权水平。
申请 KeeperPAM 演示,了解它如何保护组织的敏感数据。