云安全之访问控制介绍

访问控制技术背景

信息系统自身的复杂性、网络的广泛可接入性等因素，系统面临日益增多的安全威胁，安全问题日益突出，其中一个重要的问题是如何有效地保护系统的资源不被窃取和破坏。

访问控制技术内容包括访问控制策略、访问控制模型、访问控制框架。

1. 访问控制策略：访问控制策略是云安全中至关重要的一部分，它是定义用户和资源之间访问关系的规则集合。这些规则定义了哪些用户可以访问哪些资源，以及他们可以如何访问这些资源。例如，某些用户可能被允许只读访问某些文件，而其他用户可能被允许对这些文件进行编辑。
2. 访问控制模型：访问控制模型是一种在云环境中管理访问权限的理论框架。这些模型定义了如何在云环境中实施访问控制，以及如何保护用户和资源的身份和权限。一些常见的访问控制模型包括基于角色的访问控制（RBAC）和基于属性的访问控制（ABAC）。
3. 访问控制框架：访问控制框架是一种集成多种技术的系统，它提供了一组工具和机制，用于在云环境中管理和控制访问。这个框架可以包括身份和访问管理（IAM）系统、单点登录（SSO）和多因素身份验证等。这些工具可以帮助管理员更有效地管理用户和资源的访问权限，同时提高云环境的安全性。

访问控制类型

概念：对资源对象的访问者授权、控制的方法及运行机制。

• 主体：访问者。可以是用户、进程、应用程序等；
• 客体：资源对象，被访问对象。可以是文件、程序、数据等；
• 授权：访问者可以对资源对象进行访问的方式，如读、写、删除；
• 控制：对访问者使用方式的监测和限制，对是否许可用户访问资源对象作出决策。如允许、禁止等；

目标：防止非法用户进入系统，组织合法系统对系统资源的非法使用。

依据：《信息安全技术 网络安全等级保护安全设计技术要求(GB/T 25070-2019)》

访问控制类型包括

自主访问控制

• 自主访问控制(DAC)：自主访问控制 (Discretionary Access Control，DAC)是指客体的所有者按照自己的安全策略授予系统中其他用户对其的访问权，主要有两大类基于行的和基于列的(就是系统自己来定访问权限)。 

强制访问控制

• 强制访问控制(MAC)：强制访问控制(Mandatory Access Control，MAC)是指系统根据主客体的安全属性，以强制方式控制主体对客体的访问。 

基于角色的访问控制

• 基于角色的访问控制(RBAC)：基于角色的访问控制(RBAC，role base)，角色就是系统中的岗位或者分工，RBAC由用户U、角色R、会话S(session)、权限P四个基本要素组成。 

基于属性的访问控制

• 基于属性的访问控制(ABAC)：基于属性的访问控制(Attribute Based Access Control)。概念：根据主体的属性、客体的属性、环境的条件以及访问策略对主体的请求操作进行授权许可或拒绝。 

访问控制策略和实现

访问控制策略要求：

1. 不同网络应用的安全需求，如内部用户访问还是外部；
2. 所有和应用相关的信息确认，如通信端口号、IP地址等；
3. 网络信息传播和授权策略，如信息的安全级别和分类；
4. 不同系统的访问控制和信息分类策略之间的一致性关于保护数据和服务的有关法规和合同义务；
5. 访问权限的更新和维护 

访问控制规则

1. 基于用户身份的访问控制规则:账号名+口令
2. 基于角色的访问控制规则:根据用户完成某项任务的权限进行控制
3. 基于地址的访问规则:利用访问者所在物理位置或者逻辑地址空间来限制，如禁止远程访问
4. 基于时间的访问控制规则:如下班时间不能访问服务器
5. 基于异常事件的访问控制规则:登陆失败三次锁死
6. 基于服务数量的访问控制规则:防止DDOS攻GJ击，服务能力接近值时就会拒绝新的网络访问请求

访问控制技术应用

• MAC地址过滤:自主访问控制，网桥自行定义
• ACL访问控制列表:自主访问控制，用IP来做访问控制