iT邦幫忙

2025 iThome 鐵人賽

DAY 11
0

在弓箭手村的資安修練第 11 天,開始了解資安不只是技術,更是一種生活哲學,每一位村民都知道,真正的防禦不能只是靠一把好弓,還要靠清楚的規則與層層把關的智慧。
今天要了解資安的核心之一——存取控制,就像村莊的門禁系統,誰能進來、能看什麼、能做什麼,都必須經過嚴格的判斷。主體(Subject)是提出請求的人或裝置,目的(Object)是他們想要接觸的資源,而存取規則則是守門人手中的名單,決定誰能通行。
但資安不只是一道門,而是一座城堡,所以「縱深防禦」的策略就顯得很重要,弓箭手村建立了多層防線,從人員訓練到技術防護,再到營運流程,每一層都在守護村莊的安全。


  • 存取控制就是決定誰可以進來、能看什麼、能做什麼,就像你家門口的鎖一樣,不是每個人都能進來,也不是每個人進來後都能打開你的保險箱。
  • Subject(主體)三元素:Who、What、When
    • 主體就是發起存取請求的角色。你可以把它想成是「誰在什麼時候,用什麼方式,想要進入某個資源」。
    • 這個「誰」不一定是人,也可能是:
      • 使用者(像你我)
      • 程式或流程(自動化任務)
      • 裝置(手機、筆電、伺服器)
      • 客戶端或端點(像是瀏覽器或應用程式)
    • 他們會在某個時間點,透過某種方式,向系統提出一個請求:「我可以進去嗎?」這個請求就是對某個資源的存取要求。
  • Object(目的):被存取的資源
    • Object 就是主體想要接觸的東西,也就是「目標」,可能是:
      • 一份文件
      • 一個資料庫
      • 一個服務(像是郵件伺服器)
      • 一個 API 或應用程式功能
  • 你可以想像成主體在敲門,而 Object 就是門後的東西,系統會根據存取控制規則來判斷:「這個人(或裝置)有權限進來嗎?」

小口訣記憶法:
「誰、做什麼、什麼時候,想進哪裡?」
主體發起請求,目的就是資源,系統根據規則來決定放不放行。

  • 存取規則 (Aceess Rule):誰能進?誰不能進?
    • 你可以把存取規則想像成守門人,他手上拿著一份名單(存取控制清單Access Control List,ACL),上面寫著誰可以進入哪個地方、做哪些事。
    • 當一個主體(像是使用者、程式或裝置)想要存取某個資源(像是資料庫、檔案或服務),系統就會比對這個主體的身分,看看他在名單上有沒有通行權,如果有,就放行;如果沒有,就拒絕。
    • 這就像你去參加資安訓練營,門口的守衛會問:「你是誰?你有報名嗎?你現在可以進來嗎?」這一連串的檢查,就是存取規則在發揮作用。
  • 縱深防禦 (Defense is Depth):不只一道門,而是層層把關!
    • 資安不是只靠一道門就能守住的,它更像是一座城堡,有好幾層防線,這就是「縱深防禦」的概念。
    • 在這個策略裡,存取控制只是其中一層,其他層可能包括:
      • 人員訓練:讓大家知道什麼是安全行為
      • 技術防護:像是防火牆、加密、入侵偵測系統
      • 營運流程:像是備份、異常通報、權限審查
    • 這些層層防線互相配合,讓攻擊者就算突破一層,也還有其他防線在等著他,雖然不能保證百分之百不會被攻擊,但可以大幅降低風險、延長反應時間,讓防守方有機會反擊或阻止損害擴大。

上一篇
DAY10危機應變:事故回應(IR 目的與重要性)
下一篇
Day 12四大守護者與權限之弓:IAAA、最小特權與職責分離
系列文
弓箭手村的資安修練:CC認證30天生存日記13
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言