- 存取(access)即使用(use),因此有誰用什麼東西的概念。主動方(主詞)叫主體(subject),被用的資源是被動方(受詞),稱為客體(object)。
- 主體存取客體的整個過稱必須受到管制(control),不能為所欲為,因此才有存取控制的議題。
- 上圖展示了存取控制的不同情境(contexts)或類型。例如:網路線如何使用、網路如何連接(區域及遠端)、電腦上的程式如何存取資源、進出建物的門禁,以及園區周邊的管制等。
- WUSON的CISSP課程介紹Domain 5時,主要鎖定在電腦系統上的存取控制,也就是所謂的技術類或邏輯類的存取控制。
定義
電腦系統上的存取控制是指:
主體對於客體的存取行為,必須受到安全核心(Security Kernel)的3A管制。
3A是指驗證身份(Authentication)、檢查授權(Authorization)與記錄行為(Accounting)。然而要進行3A管制必須先有身份(idenity)才行。因此,存取控制的口訣為 I+3A。
安全核心是美國國防部橘皮書(TCSEC)的用語,一般人比較不會用這個名詞。簡單的說,安全核心是一台電腦系統中,負責存取控制的元件。值得注意的是,安全核心是一個軟體、韌體及硬體總成的概念,不是單指軟體、韌體或硬體。以下是NIST對於安全核心的定義:
Hardware, firmware, and software elements of a trusted computing base implementing the reference monitor concept. Security kernel must mediate all accesses, be protected from modification, and be verifiable as correct.
基本用語
- 身份只是用來唯一識別(uniquely identity)一個實體(entity)的屬性(attribute)。
- 實體是指實際存在且可以唯一識別的個體。一個實體通常擁有多個屬性,並且具備一或多個身份。
- 屬性是用來描述實體特色或性質的資料項目。
- 帳號(account)是代表實體的技術手段,因此帳號與實體密不可分。
- 身份用來唯一識別實體,因此管理身份就是管理實體。然而不論身份管理或實體管理,實務上都是透過帳號管理來實現。
身份管理 (Identity Management)
- 帳號管理從技術的角度來看,就是進行帳號的新增、查詢、修改及刪除(CRUD)等動作。
- 專門存放帳號的資料庫稱作目錄(directory)。
- 服務(service)即程式,負責管理目錄的程式就程為目錄服務。
- 儲存在目錄的帳號可以用X.500的表示法來表達它儲存的位置。
- 程式可以透過LDAP來要對目錄進行CRUD等動作。
- 提供目錄服務的Server也可稱為身份提供者(IdP, Identity Provider)。
零信任
WUSON CISSP的課程將零信任(Zero Trust)定位為Access Control 2.0, 也就是:
以資料為中心劃定虛擬邊界,進行更細膩/粒、更動態、更透明的存取控制。
資料來源:https://wentzwu.medium.com/%E5%AD%98%E5%8F%96%E6%8E%A7%E5%88%B6%E7%9A%84-%E5%9F%BA%E6%9C%AC%E7%94%A8%E8%AA%9E-cf9f94d29f28