分類
CISSP

存取控制的基本用語

存取控制類型
  1. 存取(access)使用(use),因此有誰用什麼東西的概念。主動方(主詞)叫主體(subject),被用的資源是被動方(受詞),稱為客體(object)
  2. 主體存取客體的整個過稱必須受到管制(control),不能為所欲為,因此才有存取控制的議題。
  3. 上圖展示了存取控制的不同情境(contexts)或類型。例如:網路線如何使用、網路如何連接(區域及遠端)、電腦上的程式如何存取資源、進出建物的門禁,以及園區周邊的管制等。
  4. WUSON的CISSP課程介紹Domain 5時,主要鎖定在電腦系統上的存取控制,也就是所謂的技術類邏輯類的存取控制。

定義

電腦系統上的存取控制是指:

主體對於客體的存取行為,必須受到安全核心(Security Kernel)的3A管制。

3A是指驗證身份(Authentication)檢查授權(Authorization)記錄行為(Accounting)。然而要進行3A管制必須先有身份(idenity)才行。因此,存取控制的口訣為 I+3A

安全核心是美國國防部橘皮書(TCSEC)的用語,一般人比較不會用這個名詞。簡單的說,安全核心是一台電腦系統中,負責存取控制的元件。值得注意的是,安全核心是一個軟體、韌體及硬體總成的概念,不是單指軟體、韌體或硬體。以下是NIST對於安全核心的定義:

Hardware, firmware, and software elements of a trusted computing base implementing the reference monitor concept. Security kernel must mediate all accesses, be protected from modification, and be verifiable as correct.

基本用語

  1. 身份只是用來唯一識別(uniquely identity)一個實體(entity)屬性(attribute)
  2. 實體是指實際存在且可以唯一識別的個體。一個實體通常擁有多個屬性,並且具備一或多個身份。
  3. 屬性是用來描述實體特色性質的資料項目。
  4. 帳號(account)是代表實體的技術手段,因此帳號與實體密不可分。
  5. 身份用來唯一識別實體,因此管理身份就是管理實體。然而不論身份管理或實體管理,實務上都是透過帳號管理來實現。

身份管理 (Identity Management)

  1. 帳號管理從技術的角度來看,就是進行帳號的新增、查詢、修改及刪除(CRUD)等動作。
  2. 專門存放帳號的資料庫稱作目錄(directory)
  3. 服務(service)即程式,負責管理目錄的程式就程為目錄服務
  4. 儲存在目錄的帳號可以用X.500的表示法來表達它儲存的位置。
  5. 程式可以透過LDAP來要對目錄進行CRUD等動作。
  6. 提供目錄服務的Server也可稱為身份提供者(IdP, Identity Provider)

零信任

WUSON CISSP的課程將零信任(Zero Trust)定位為Access Control 2.0, 也就是:

資料為中心劃定虛擬邊界,進行更細膩/粒更動態更透明存取控制

資料來源:https://wentzwu.medium.com/%E5%AD%98%E5%8F%96%E6%8E%A7%E5%88%B6%E7%9A%84-%E5%9F%BA%E6%9C%AC%E7%94%A8%E8%AA%9E-cf9f94d29f28

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文