主題 | 描述 |
---|---|
基本概念 | 保護數據是安全控制的一個基本特徵。 |
security controls 訪問控制 | 管理訪問、授權和信息責任的安全控制。manage access, authorization, and accountability of information |
AAA framwork | 身份驗證 (Authentication),授權 (Authorization),會計 (Accounting)。 |
身份驗證 | 問「你是誰?」並根據三個因素回答。 |
知識 knowledge | 用戶知道的內容,如密碼或安全問題的答案。 |
擁有 ownership | 用戶擁有的物品,如一次性密碼 (OTP)。 |
characteristic 特徵 | 用戶的生物特徵,如指紋或面部識別。 |
SSO Single Sign-On | 將多個登錄結合為一個,提高訪問效率。 |
MFA/Multi-factor authentication | 需要用戶以多種方式驗證身份來訪問系統或網絡。 |
結合使用 | SSO 與 MFA 經常結合,以增強安全性。 |
身份驗證(Authentication):這是確定用戶身份的過程,常見的方式包括使用密碼、指紋或其他生物識別技術。只有當用戶的身份得到確認後,系統才會允許其訪問資源。
授權(Authorization):這個過程是在身份驗證之後進行的,用來確定已驗證的用戶可以訪問哪些資源或執行哪些操作。這通常通過設定權限來實現,這樣即使一個用戶訪問了系統,也不意味著他/她可以查看或改動所有的數據。
會計(Accounting):這一功能是指跟蹤和記錄用戶在系統中的活動。會計有助於檢查用戶的行為是否符合公司的政策,也有助於在發生安全事件時進行調查。
身份驗證因素 | 定義 | 例子 | 趨勢 |
---|---|---|---|
知識 (Knowledge) | 用戶所知道的資訊 | 密碼或安全問題的答案 | 無 |
擁有 (Ownership) | 用戶所持有的物品 | 一次性密碼(One-Time Passcode, OTP) | 由應用程式或網站發送請求 |
特徵 (Characteristic) | 用戶的固有特性 | Biometrics生物識別技術(如指紋掃描) | 越來越普及,模仿難度較高 |
主題 | 單一簽入 (SSO) | 多因素認證 (MFA) |
---|---|---|
定義 | 將多個登錄合併為一個,簡化用戶驗證流程。 | 要求用戶通過兩種或多種方式驗證身份,增強安全性。 |
優勢 | - 改善用戶體驗,減少記憶用戶名和密碼的需求。 | - 增強安全性,尤其是在雲端環境中,減少誤認證的風險。 |
- 降低管理成本,簡化服務管理。 | ||
- 提升安全性,減少攻擊者可針對的訪問點。 | ||
工作原理 | 自動化用戶與服務提供商之間的信任建立,通過加密的訪問令牌進行身份驗證。 | 用戶需提供多個身份驗證因素,如用戶名、密碼、OTP或生物特徵。 |
使用的協定 | - LDAP:Lightweight Directory Access Protocol,用於內部傳輸。 on-premises | 不依賴特定協定,通常結合多種技術進行身份驗證。 |
- SAML:用於雲端off-premises傳輸。Security Assertion Markup Language | ||
限制 | 單一認證方式存在風險,例如密碼丟失或被盜可能影響多個服務。 | 需要更多的設備或步驟來完成身份驗證,可能影響用戶便利性。 |
項目 | 內容 |
---|---|
認證與授權 | 認證authentication驗證用戶身份,authorization 授權確定用戶的操作許可 accounting framework |
訪問控制的重要性 | 分配特定系統和過程的責任,關聯於資訊的存取期間的原則 |
最少特權原則 principle of least privilege | 存取資訊的權限應僅限於必要時間 |
職責分離原則the separation of duties | 用戶不應獲得可以濫用系統的授權等級,減少系統故障和不當行為的風險 |
授權影響範圍 | 涉及所有系統,包括網絡、數據庫和流程 |
常見的訪問控制技術 | HTTP Basic Auth 和 OAuth |
HTTP Basic Auth | 透過用戶識別進行伺服器訪問,安全性問題導致使用 HTTPS |
OAuth/open-standard authorization protocol | 開放標準授權協議,使用 API tokens 替代用戶名和密碼,通常用於第三方應用程序訪問用戶的資源,而無需直接分享用戶的密碼 |
安全性加固 | 支持多因素認證,增強安全性 |
監控訪問的重要性 | 控制訪問的同時,還需進行訪問監控 |
特性 | HTTP Basic Auth | OAuth |
---|---|---|
定義 | 基本驗證協議,用於驗證用戶身份和授權存取伺服器資源。 | 開放標準授權協議,允許應用之間共享指定的訪問權限。 |
安全性 | 傳遞用戶名和密碼,容易受到攔截攻擊(若未使用 HTTPS)。 | 使用 API tokens,避免傳遞用戶名和密碼,安全性更高。 |
數據傳輸 | 用戶名和密碼以明文形式(Base64 編碼)在網絡中傳輸。 | 使用加密的 API tokens 傳輸數據,減少敏感信息暴露的風險。 |
使用場景 | 一些較舊的網站或系統仍然採用,但多數已被 HTTPS 取代。 | 現代應用中廣泛使用,例如允許第三方應用訪問 Google 或 Facebook 資源。 |
支援多因素認證 (MFA) | 不支援。 | 支援多因素認證,增強安全性。 |
易用性 | 實現簡單,但對於用戶和開發者來說缺乏靈活性。 | 提供靈活的訪問控制,適合複雜的應用場景,例如跨應用授權。 |
主要缺點 | 不安全,容易受到中間人攻擊(若未使用 HTTPS)。 | 需要額外實現 API tokens 的管理和處理,增加實現的複雜性。 |
為何進行用戶活動審計?
主題 | 描述 |
---|---|
會話 (Session) | - 會話是指一系列的網路請求(HTTP basic auth requests)和響應(responses),用戶訪問系統時開始的交互過程,從登錄到退出為止。 |
- 包括用戶的網絡請求和響應序列,例如HTTP請求。 | |
- 會話通常與用戶的身份相關聯,幫助系統追蹤用戶的操作。 | |
- 會話在用戶關閉瀏覽器、登出或超時後會自動結束,確保安全性。 | |
會話ID (Session ID) | - 唯一標識符,用於識別用戶及其設備。 |
- 通常以隨機生成的字符串形式存在,並存儲在伺服器端和用戶端(例如Cookie)中。 | |
- 會話ID的安全性非常重要,因為它是區分用戶的核心依據。 | |
會話Cookie (Session Cookie) | - is a token that websites use to validate a session and determine how long that session should last.一種小型文本文件,存儲在用戶的瀏覽器中,用於驗證和管理會話狀態。 |
- 包含會話ID等信息,用於讓伺服器識別用戶並提供對應的服務。 | |
- 通常是臨時的,會在瀏覽器關閉後或會話結束後被刪除。 | |
- Cookie的主要作用是提高效率和安全性,避免每次請求時重新驗證用戶身份。 | |
- 由於Cookie只存儲令牌而非敏感數據(如密碼),因此能減少數據洩露的風險。 | |
會話劫持 (Session Hijacking) | - 當攻擊者獲得合法用戶的會話ID後,利用該ID模仿用戶進行操作的攻擊行為。 |
- 攻擊者可能通過竊取Cookie、網絡攔截或其他方式獲取會話ID。 | |
- 可能導致金錢、私人數據甚至進一步訪問其他系統的憑證被竊取。 | |
- 防範措施包括使用HTTPS加密、設置短會話時限,以及檢測異常活動。 |
需要用戶提供身份證明來訪問資源
多因素身份驗證(MFA)
多因素身份驗證則是增強安全的一種措施,它要求用戶提供兩種或以上的身份驗證方式才能獲得對系統或網絡的訪問權限。這些可以是知識(如密碼)、持有物(如手機生成的動態密碼)或生物識別(如指紋或面部識別)。多因素身份驗證大幅提升了安全性,即使有人獲得了用戶的密碼,沒有其他所需的驗證形式,仍然無法成功登錄。
框架/概念 | 描述 | 特性 |
---|---|---|
Mandatory Access Control (MAC) | 基於需求的嚴格控制,由中央權限或系統管理員手動授予訪問權限 | 適用於高安全性環境,例如軍事、執法機構;非資料擁有者決定,需通過命令鏈請求訪問權限 |
Discretionary Access Control (DAC) | 由資料擁有者決定訪問權限,例如共享Google Drive文件的編輯、查看或評論權限 | 資料擁有者擁有完全自主權,可根據需要授予或撤銷訪問權限;靈活性高,但安全性相對較低 |
Role-Based Access Control (RBAC) | 根據用戶角色授予訪問權限,例如根據部門職位決定用戶的訪問範圍(如市場部門可訪問用戶分析,但不能訪問網絡管理) | 訪問權限由用戶角色決定,適用於大型組織;簡化管理,減少錯誤,但需定期更新角色權限以確保安全性 |