什么是访问控制列表？

访问控制列表 (ACL) 是一组规则，用于确定哪些用户或系统可以访问特定的网络资源，以及他们在使用这些资源时可以进行哪些操作。

这是身份和访问管理 (IAM) 政策框架的核心原则，确保授权用户只能访问他们有权访问的资源。

访问控制列表如何运作？

访问控制列表通过评估用户的权限和其他因素来验证用户的凭证，具体取决于组织实施的访问控制列表类型。评估和验证过后，ACL 将授予访问请求资源的权限或拒绝访问。

访问控制列表的类型

访问控制列表可分为两大类：

标准 ACL

标准访问控制列表是最常见的 ACL 类型。它仅根据源 IP 地址来过滤流量。标准 ACL 不考虑用户数据包的其他因素。

扩展 ACL

扩展访问控制列表是更精确的方式，允许根据众多标准（如端口数量、协议类型、源和用户的目的 IP 地址）进行过滤。

访问控制的类型

有几类访问控制可以满足组织的需求。以下是四种最常见的访问控制类型。

基于角色的访问控制

基于角色的访问控制 (RBAC) 是一种广泛使用的资源访问管理方式。它根据用户在组织内的角色管理器在系统内的授权和限制。某些特权和权限的设置与用户的角色相关。此安全模型遵循最低特权原则 (PoLP)，确保用户只能访问其完成工作职能所需的系统。例如，由于分工不同，运营分析师拥有与销售主管截然不同的资源。

自主访问控制 (DAC)

自主访问控制 (DAC) 是一种由资源所有者负责授予或拒绝特定用户访问权限的方式。它基于所有者自主做出的最终决定。该模型提供了更大的灵活性，因为它允许所有者快速、轻松地调整权限，但如果资源所有者判断错误或决定不一致，则可能构成威胁。

强制访问控制 (MAC)

强制访问控制 (MAC) 是一种基于系统策略的资源访问方式，这些策略通常由中央机构或管理员制定。我们可以将其视作一个分级系统，不同的用户组根据其权限级别被授予不同的访问权限。强制访问控制广泛用于政府和军事系统，出于安全考虑，必须实施严格监管。

基于属性的访问控制

基于属性的访问控制 (ABAC) 是一种涉及检查用户相关属性的访问控制方式。此安全模型聚焦其他特征，如主体、环境、工作职责、位置和访问时间，而不仅仅关注其角色。基于属性的访问控制根据属性定义某些策略，并不折不扣地遵循这些策略。

访问控制列表的组成部分

访问控制列表由几个部分组成，每个部分都代表决定用户权限的重要信息。

序列号: 序列号是用于标识 ACL 条目的代码。
ACL 名称: ACL 名称还用于识别 ACL 条目，但它使用的是名称而非序列号。在某些情况下，使用字母和数字的组合。
网络协议: 管理员可以根据用户的网络协议（如 Internet 协议 (IP)、传输控制协议 (TCP) 和用户数据报协议 (UDP)）授予用户访问权限或拒绝访问。
源: 源定义请求的源 IP 地址。

使用访问控制列表的有点

使用访问控制列表的一个优点是，它提供细粒度控制，让组织能够针对特定群体设置和确定权限。这支持组织灵活、简便地管理资源，同时保护系统的机密信息。

此外，访问控制列表可以降低安全漏洞、未经授权的访问以及大多数其他恶意活动的风险。ACL 不仅可以阻止未经授权的流量进入，还可以阻止欺骗和拒绝服务 (DoS) 攻击。由于 ACL 只在过滤源的 IP 地址，因此它们将明确允许可信源的进入，同时屏蔽不可信的源。ACL 还可以通过过滤恶意流量和限制传入数据包的数量，防止流量过载，从而减轻 DoS 攻击。

如何实施访问控制列表

要试图访问控制列表，必须首先确定痛点，并找出组织内的哪些领域需要改进。评估过后，组织必须选择最符合组织安全和合规要求的良好 IAM 解决方案，同时解决潜在风险。

组织选择了 IAM 解决方案后，就可以设置适当的权限，确保用户对所需资源拥有恰如其分的访问权限，同时还能维持安全标准。