“最低特权”模型保护数字资产和用户生产力
我们的工作方式已演变为多样化和复杂的模型。这是一个新的网络安全挑战,特别是在用户身份方面。
每天早上员工们在一个公用设施中聚会的日子已经一去不复返了,该设施存放着完成工作所需的所有设备,用品和数据。而且,他们不再需要在八个小时后关闭灯并回家,而无需在下一个工作日之前再次访问这些数据资源。
取而代之的是,现代员工可能位于跨地理位置,时区和文化的高度分散的分支机构中。他们可能正在旅途中拜访客户或参加会议。而且,随着我们都变得敏锐地意识到,灾难或大流行可能会突然迫使家庭办公室进行长时间的远程工作。
不论身在何处和情况如何,工作人员都需要访问执行工作所必需的数据和应用程序。有些甚至需要24/7。提供访问权限是IT的工作,同时确保人们只能获取他们真正需要的数据,以减少与特权授予相关的日益增长的威胁。
多样化的用户,数据,设备提出了新的挑战
每天控制访问变得越来越棘手。要支持的角色越来越多,已经超出了传统员工的范围,包括承包商,供应商和业务合作伙伴,每个人都有自己的一套访问要求和限制。这些人不再方便地在可以物理锁定的公共位置共享单个包含的本地网络。
现在,不仅当今的用户高度分散,而且企业数据和应用程序也可以高度分布,它们可以跨内部部署基础结构,私有管理的云和公共云服务运行。甚至客户端设备也远非标准:用户要求从不同品牌的平板电脑,智能手机,笔记本电脑,台式机和工作站进行访问。
考虑到所有这些变量,身份问题受到了新的审查。曾经有必要对具有相似角色的用户进行分组,并为整个组提供一组网络访问权限,例如使用虚拟LAN(VLAN)。现在,许多组织进一步将访问权限限制到单个员工,承包商,供应商或合作伙伴。这些权利可能取决于员工当时使用的设备或访问网络,因为其中一些比其他的更安全。
这些更改的原因之一是为了帮助防止内部滥用数据:根据Verizon 2019数据泄露调查报告,2019年有34%的数据海滩涉及内部用户。此外,公司不希望特权过多的用户成为寻求通过窃取其访问凭据来进入公司网络的黑客的目标:Verizon表示,2019年近三分之一的数据泄露事件(29%)涉及被盗的用户凭据。 。
除了采用更强大的用户身份验证方法(其中可能包括安全卡或生物识别技术以及密码)之外,公司还开始采用“零信任”安全模型。这使用“最低特权”原则,该原则狭义地定义了用户访问权限。
接受最小权限控制
简而言之,最少特权控制将访问权限限制为每个用户执行其工作所需的最小权限。这意味着不再自由地放弃Active Directory中的Domain Admins权限,对操作系统的根级别访问以及对企业虚拟化基础结构的管理员级别访问,以及其他更改。
但是,实现最低特权的访问控制并不像您想象的那么简单。例如,员工在组织中移入和移出不同角色是相当普遍的。至关重要的是,他们的访问权限会随着每次更改而相应地进行调整,这对于精简或过度工作的IT部门可能会造成麻烦。
每次都应撤销访问权限并重新分配访问权限,并在员工离开公司后永久废除。如果不是这样,特权可能累积到个人拥有比适当更大得多的访问权限的地步。这为员工滥用提供了方便,并且可以使用户成为黑客的目标,这些黑客寻求对公司数据的广泛访问。
实施方式
有几种方法可以实现最低特权,这实际上是有关内部策略的,而不是任何一种特定技术。首先,是时候摆脱网络边缘“阻止坏人”的思想观念了,这种思想在物理上已经不复存在了。从那里,您需要确定最重要的数据,以防止盗窃,滥用,破坏或任何组合。一旦做出这些决定,就可以构建体系结构来设置和实施保护这些资产所需的粒度最小特权策略。
防火墙和VPN。执行最低特权安全性的一种方法是将整个公司网络置于防火墙之外,强制所有用户通过虚拟专用网络(VPN)进行连接。使用此方法可以非常狭窄地为任何可远程访问的应用程序和服务指定授予/拒绝权限。
虚拟桌面基础结构(VDI)。强制执行最低特权的另一种方法是使用虚拟桌面基础结构(一种成熟的技术)。借助VDI,数据和应用程序可集中存储,从而更易于保护。远程用户使用Web浏览器或瘦客户端通过网络登录。桌面对于用户而言是本地的,但实际上是由IT和安全团队进行管理和保护的。根据用户的身份,可以配置桌面安全控件和网络策略,以确保用户只能访问他们有权使用的资源。
取得适当的平衡
对于网络管理员来说,确定如何创建不妨碍工作人员生产力但仍能最大程度地防止未经授权的访问的策略可能具有挑战性。
最重要的第一步是使用基于网络和用户的访问控制来确定要保护的内容。用于创建规则的技术(可能是Active Directory,VDI,VPN和防火墙的某种组合)是做出这些决定的第二要务。
最后,组织必须对执法保持警惕。自动化与基于身份的策略相结合,可以帮助简化操作和任务,例如员工入职,角色/职位轮换以及其他需要更改用户权限的事件。尽管如此,最好的方法是避免“定型而忘记”的心态。通过严格限制谁可以访问关键系统并定期重新访问该计划,可以减少意外或恶意数据滥用和盗窃的风险。
“最低特权”模型保护数字资产和用户生产力:等您坐沙发呢!