什么是访问控制列表?
- IAM 词汇表
- 什么是访问控制列表?
访问控制列表 (ACL) 是一组规则,用于确定哪些用户或系统可以访问特定的网络资源,以及他们在使用这些资源时可以进行哪些操作。
这是身份和访问管理 (IAM) 政策框架的核心原则,确保授权用户只能访问他们有权访问的资源。
访问控制列表如何运作?
访问控制列表通过评估用户的权限和其他因素来验证用户的凭证,具体取决于组织实施的访问控制列表类型。评估和验证过后,ACL 将授予访问请求资源的权限或拒绝访问。
访问控制列表的类型
访问控制列表可分为两大类:
标准 ACL
标准访问控制列表是最常见的 ACL 类型。它仅根据源 IP 地址来过滤流量。标准 ACL 不考虑用户数据包的其他因素。
扩展 ACL
扩展访问控制列表是更精确的方式,允许根据众多标准(如端口数量、协议类型、源和用户的目的 IP 地址)进行过滤。
访问控制的类型
有几类访问控制可以满足组织的需求。以下是四种最常见的访问控制类型。
基于角色的访问控制
基于角色的访问控制 (RBAC) 是一种广泛使用的资源访问管理方式。它根据用户在组织内的角色管理器在系统内的授权和限制。某些特权和权限的设置与用户的角色相关。此安全模型遵循最低特权原则 (PoLP),确保用户只能访问其完成工作职能所需的系统。例如,由于分工不同,运营分析师拥有与销售主管截然不同的资源。
自主访问控制 (DAC)
自主访问控制 (DAC) 是一种由资源所有者负责授予或拒绝特定用户访问权限的方式。它基于所有者自主做出的最终决定。该模型提供了更大的灵活性,因为它允许所有者快速、轻松地调整权限,但如果资源所有者判断错误或决定不一致,则可能构成威胁。
强制访问控制 (MAC)
强制访问控制 (MAC) 是一种基于系统策略的资源访问方式,这些策略通常由中央机构或管理员制定。我们可以将其视作一个分级系统,不同的用户组根据其权限级别被授予不同的访问权限。强制访问控制广泛用于政府和军事系统,出于安全考虑,必须实施严格监管。
基于属性的访问控制
基于属性的访问控制 (ABAC) 是一种涉及检查用户相关属性的访问控制方式。此安全模型聚焦其他特征,如主体、环境、工作职责、位置和访问时间,而不仅仅关注其角色。基于属性的访问控制根据属性定义某些策略,并不折不扣地遵循这些策略。
访问控制列表的组成部分
访问控制列表由几个部分组成,每个部分都代表决定用户权限的重要信息。
- 序列号
- 序列号是用于标识 ACL 条目的代码。
- ACL 名称
- ACL 名称还用于识别 ACL 条目,但它使用的是名称而非序列号。在某些情况下,使用字母和数字的组合。
- 网络协议
- 管理员可以根据用户的网络协议(如 Internet 协议 (IP)、传输控制协议 (TCP) 和用户数据报协议 (UDP))授予用户访问权限或拒绝访问。
- 源
- 源定义请求的源 IP 地址。
使用访问控制列表的有点
使用访问控制列表的一个优点是,它提供细粒度控制,让组织能够针对特定群体设置和确定权限。这支持组织灵活、简便地管理资源,同时保护系统的机密信息。
此外,访问控制列表可以降低安全漏洞、未经授权的访问以及大多数其他恶意活动的风险。ACL 不仅可以阻止未经授权的流量进入,还可以阻止欺骗和拒绝服务 (DoS) 攻击。由于 ACL 只在过滤源的 IP 地址,因此它们将明确允许可信源的进入,同时屏蔽不可信的源。ACL 还可以通过过滤恶意流量和限制传入数据包的数量,防止流量过载,从而减轻 DoS 攻击。
如何实施访问控制列表
要试图访问控制列表,必须首先确定痛点,并找出组织内的哪些领域需要改进。评估过后,组织必须选择最符合组织安全和合规要求的良好 IAM 解决方案,同时解决潜在风险。
组织选择了 IAM 解决方案后,就可以设置适当的权限,确保用户对所需资源拥有恰如其分的访问权限,同时还能维持安全标准。