iT邦幫忙

0

Cyber security -5 Module2-4 Access controls and authentication systems

  • 分享至 

  • xImage
  •  

Access controls and authentication systems

  • 良好的訪問控制能維持數據的保密性、完整性和可用性。
  • knowledge ownership characteristic authentication systems use to verify a user's identity.
主題 描述
基本概念 保護數據是安全控制的一個基本特徵。
security controls 訪問控制 管理訪問、授權和信息責任的安全控制。manage access, authorization, and accountability of information
AAA framwork 身份驗證 (Authentication),授權 (Authorization),會計 (Accounting)。
身份驗證 問「你是誰?」並根據三個因素回答。
知識 knowledge 用戶知道的內容,如密碼或安全問題的答案。
擁有 ownership 用戶擁有的物品,如一次性密碼 (OTP)。
characteristic 特徵 用戶的生物特徵,如指紋或面部識別。
SSO Single Sign-On 將多個登錄結合為一個,提高訪問效率。
MFA/Multi-factor authentication 需要用戶以多種方式驗證身份來訪問系統或網絡。
結合使用 SSO 與 MFA 經常結合,以增強安全性。

AAA framwork

  • 身份驗證(Authentication):這是確定用戶身份的過程,常見的方式包括使用密碼、指紋或其他生物識別技術。只有當用戶的身份得到確認後,系統才會允許其訪問資源。

  • 授權(Authorization):這個過程是在身份驗證之後進行的,用來確定已驗證的用戶可以訪問哪些資源或執行哪些操作。這通常通過設定權限來實現,這樣即使一個用戶訪問了系統,也不意味著他/她可以查看或改動所有的數據。

  • 會計(Accounting):這一功能是指跟蹤和記錄用戶在系統中的活動。會計有助於檢查用戶的行為是否符合公司的政策,也有助於在發生安全事件時進行調查。

身份驗證因素

身份驗證因素 定義 例子 趨勢
知識 (Knowledge) 用戶所知道的資訊 密碼或安全問題的答案
擁有 (Ownership) 用戶所持有的物品 一次性密碼(One-Time Passcode, OTP) 由應用程式或網站發送請求
特徵 (Characteristic) 用戶的固有特性 Biometrics生物識別技術(如指紋掃描) 越來越普及,模仿難度較高

SSO 與MFA technology的興起

SSO 與 MFA 比較表

主題 單一簽入 (SSO) 多因素認證 (MFA)
定義 將多個登錄合併為一個,簡化用戶驗證流程。 要求用戶通過兩種或多種方式驗證身份,增強安全性。
優勢 - 改善用戶體驗,減少記憶用戶名和密碼的需求。 - 增強安全性,尤其是在雲端環境中,減少誤認證的風險。
- 降低管理成本,簡化服務管理。
- 提升安全性,減少攻擊者可針對的訪問點。
工作原理 自動化用戶與服務提供商之間的信任建立,通過加密的訪問令牌進行身份驗證。 用戶需提供多個身份驗證因素,如用戶名、密碼、OTP或生物特徵。
使用的協定 - LDAP:Lightweight Directory Access Protocol,用於內部傳輸。 on-premises 不依賴特定協定,通常結合多種技術進行身份驗證。
- SAML:用於雲端off-premises傳輸。Security Assertion Markup Language
限制 單一認證方式存在風險,例如密碼丟失或被盜可能影響多個服務。 需要更多的設備或步驟來完成身份驗證,可能影響用戶便利性。

The mechanisms of authorization授權機制

項目 內容
認證與授權 認證authentication驗證用戶身份,authorization 授權確定用戶的操作許可 accounting framework
訪問控制的重要性 分配特定系統和過程的責任,關聯於資訊的存取期間的原則
最少特權原則 principle of least privilege 存取資訊的權限應僅限於必要時間
職責分離原則the separation of duties 用戶不應獲得可以濫用系統的授權等級,減少系統故障和不當行為的風險
授權影響範圍 涉及所有系統,包括網絡、數據庫和流程
常見的訪問控制技術 HTTP Basic Auth 和 OAuth
HTTP Basic Auth 透過用戶識別進行伺服器訪問,安全性問題導致使用 HTTPS
OAuth/open-standard authorization protocol 開放標準授權協議,使用 API tokens 替代用戶名和密碼,通常用於第三方應用程序訪問用戶的資源,而無需直接分享用戶的密碼
安全性加固 支持多因素認證,增強安全性
監控訪問的重要性 控制訪問的同時,還需進行訪問監控

authentication

特性 HTTP Basic Auth OAuth
定義 基本驗證協議,用於驗證用戶身份和授權存取伺服器資源。 開放標準授權協議,允許應用之間共享指定的訪問權限。
安全性 傳遞用戶名和密碼,容易受到攔截攻擊(若未使用 HTTPS)。 使用 API tokens,避免傳遞用戶名和密碼,安全性更高。
數據傳輸 用戶名和密碼以明文形式(Base64 編碼)在網絡中傳輸。 使用加密的 API tokens 傳輸數據,減少敏感信息暴露的風險。
使用場景 一些較舊的網站或系統仍然採用,但多數已被 HTTPS 取代。 現代應用中廣泛使用,例如允許第三方應用訪問 Google 或 Facebook 資源。
支援多因素認證 (MFA) 不支援。 支援多因素認證,增強安全性。
易用性 實現簡單,但對於用戶和開發者來說缺乏靈活性。 提供靈活的訪問控制,適合複雜的應用場景,例如跨應用授權。
主要缺點 不安全,容易受到中間人攻擊(若未使用 HTTPS)。 需要額外實現 API tokens 的管理和處理,增加實現的複雜性。

accounting framework

為何進行用戶活動審計?

  • 監控系統的訪問日誌。訪問日誌幫助識別趨勢,例如失敗的登錄嘗試。
  • 日誌記錄用戶誰、何時、使用了哪些資源。可用於發現黑客入侵和檢測事件(如數據洩露)。
主題 描述
會話 (Session) - 會話是指一系列的網路請求(HTTP basic auth requests)和響應(responses),用戶訪問系統時開始的交互過程,從登錄到退出為止。
- 包括用戶的網絡請求和響應序列,例如HTTP請求。
- 會話通常與用戶的身份相關聯,幫助系統追蹤用戶的操作。
- 會話在用戶關閉瀏覽器、登出或超時後會自動結束,確保安全性。
會話ID (Session ID) - 唯一標識符,用於識別用戶及其設備。
- 通常以隨機生成的字符串形式存在,並存儲在伺服器端和用戶端(例如Cookie)中。
- 會話ID的安全性非常重要,因為它是區分用戶的核心依據。
會話Cookie (Session Cookie) - is a token that websites use to validate a session and determine how long that session should last.一種小型文本文件,存儲在用戶的瀏覽器中,用於驗證和管理會話狀態。
- 包含會話ID等信息,用於讓伺服器識別用戶並提供對應的服務。
- 通常是臨時的,會在瀏覽器關閉後或會話結束後被刪除。
- Cookie的主要作用是提高效率和安全性,避免每次請求時重新驗證用戶身份。
- 由於Cookie只存儲令牌而非敏感數據(如密碼),因此能減少數據洩露的風險。
會話劫持 (Session Hijacking) - 當攻擊者獲得合法用戶的會話ID後,利用該ID模仿用戶進行操作的攻擊行為。
- 攻擊者可能通過竊取Cookie、網絡攔截或其他方式獲取會話ID。
- 可能導致金錢、私人數據甚至進一步訪問其他系統的憑證被竊取。
- 防範措施包括使用HTTPS加密、設置短會話時限,以及檢測異常活動。

Identity and access management

基本安全原則

  • The principle ofLeast Privilege(最小特權) :用戶僅被授予完成任務所需的最低訪問權限
  • Separation of Duties(職責分離):防止任何一個用戶擁有濫用系統的授權級別

身份與訪問管理 (IAM)

  • 組織越來越依賴技術,需遵循規範要求
  • IAM是一套管理數位身份的流程與技術
    • 與AAA系統相似:
    • 驗證用戶、確定訪問權限、追蹤活動
  • 「正確的用戶user」、「正確的資源resources」、「正確的時間time」以及「正確的理由reasons」形成了組織IAM政策及流程的根本基礎。
    職責分離(Separation of Duties):這是一個安全控制原則,要求將關鍵任務或權限分配給多個人員,以減少風險。這樣,即使一個人濫用權限,也無法完成整個流程。
    職責隔離(Segregation of Duties):這個術語在實際應用中通常與職責分離互換使用,功能和目的相同。它旨在確保無一人能夠在一個流程中獨立執行所有責任,從而防止欺詐行為和錯誤。

Authenticating users 用戶驗證

需要用戶提供身份證明來訪問資源

  • 驗證因素:
    • Knowledge(知識):用戶所知的
    • Ownership(擁有):用戶所擁有的
    • Characteristic(特徵):用戶本身的特徵
      單一登錄(SSO)
      單一登錄是一種技術,它使得用戶能夠用一組登錄憑證(如一個用戶名和密碼),直接訪問多個應用程序或網站。這不僅提高了用戶的便利性,還減少了記住多組登錄信息的負擔,降低了因為忘記密碼而導致的安全風險。然而,SSO也需要合適的安全措施來確保其不被壟斷或濫用。

多因素身份驗證(MFA)
多因素身份驗證則是增強安全的一種措施,它要求用戶提供兩種或以上的身份驗證方式才能獲得對系統或網絡的訪問權限。這些可以是知識(如密碼)、持有物(如手機生成的動態密碼)或生物識別(如指紋或面部識別)。多因素身份驗證大幅提升了安全性,即使有人獲得了用戶的密碼,沒有其他所需的驗證形式,仍然無法成功登錄。

用戶配備(User Provisioning)

  • 創建和維護用戶數位身份的過程
  • 包括用戶的授權和去授權
  • 分析師在IAM中負責撤銷用戶權限deprovision users的角色凸顯了安全管理中的一個核心概念,即隨時管理用戶訪問權限是確保系統安全的關鍵步驟。隨著企業環境的變化,用戶可能會更換角色、離職或因其他原因不再需要訪問某些資源。這時,需要快速且有效地撤銷其權限,以保護組織資源不受未經授權的訪問。

授權程序

框架/概念 描述 特性
Mandatory Access Control (MAC) 基於需求的嚴格控制,由中央權限或系統管理員手動授予訪問權限 適用於高安全性環境,例如軍事、執法機構;非資料擁有者決定,需通過命令鏈請求訪問權限
Discretionary Access Control (DAC) 由資料擁有者決定訪問權限,例如共享Google Drive文件的編輯、查看或評論權限 資料擁有者擁有完全自主權,可根據需要授予或撤銷訪問權限;靈活性高,但安全性相對較低
Role-Based Access Control (RBAC) 根據用戶角色授予訪問權限,例如根據部門職位決定用戶的訪問範圍(如市場部門可訪問用戶分析,但不能訪問網絡管理) 訪問權限由用戶角色決定,適用於大型組織;簡化管理,減少錯誤,但需定期更新角色權限以確保安全性

圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言