终端访问控制系统原理
终端访问控制系统是基于用户身份的合法性验证,利用预先配置的控制策略进行选用和管理工作。终端访问控制系统主要需要完成三个任务,识别访问用户、分配用户可访问资源的权限以及安全审计。用户在进入可信网络环境后,终端访问控制系统会基于多重因素认证终端设备用户的可信度,根据配置的安全策略和准入策略进行管控,确保合法用户合理使用终端资源,并对越权操作进行监控。当判断出现安全威胁时,会采取告警、锁定、禁止入网的措施,帮助企业降低终端设备潜在的各类风险。
访问控制的三要素
主体
主体 (Subject),简称为 S,是一个主动的实体,通常是指提出访问终端或资源具体请求的发起者,发起者可以是用户、用户组、终端、程序、服务等。当一个主体受到另一主体的访问,被访问的主体会成为客体。
客体
客体 (Object),简称为 O,是一个被动的实体,客体的访问受权限管理,通常是指被访问的终端或资源。客体不仅限于信息、文件、记录等,也可以是部署在网络中的硬件设备、终端等。
控制策略
控制策略 (Attribution),简称 A,包含了主体对客体访问的相关规则。面向企业的终端访问控制系统,控制策略通常包含终端管控、网络准入、应用管理、云端联动等,为企业提供全办公场景的安全可控管理。
访问控制的类型
自主访问控制
自主访问控制是执行访问身份接入授权,用户身份确认后,有权对自己创建的文件、数据表等对象进行访问,并自行管理这些内容的权限和控制策略,是一种接入控制的服务类型。自主访问控制的安全性较低,易造成链式传递,导致数据泄露。
强制访问控制
强制访问控制是由系统根据预先配置的策略管理用户权限和访问权限,对所有资源实施强制访问控制,是一种系统强制主体服从的访问控制类型。只有管理员可以制定访问控制策略,用户无法改变自身权限。强制访问控制通常会定义不同的敏感标签,针对所有用户和资源访问强行执行安全策略,安全性较高。
角色访问控制
角色访问控制是通过将权限与角色进行关联,每个用户根据匹配不同角色获取对应的权限,是一种通过身份定义的访问控制类型。基于角色访问控制,企业可以根据不同的工作需求和职责,为不同角色分配资源和权限,便于任务分担、文件分级管理,降低了管理成本,提高企业安全策略的灵活性。
亚马逊云科技热门云产品
Amazon EBS
可处理任何规模的高性能数据块存储
Amazon WAF
保护您的 Web 应用程序免受常见 Web 攻击
Amazon S3
专为可从任何位置检索任意数量的数据而构建的对象存储
Amazon ECR
存储和管理 Docker 容器
欢迎加入亚马逊云科技培训中心
欢迎加入亚马逊云科技培训中心
-
快速上手训练营
-
账单设置与查看
-
动手实操
-
快速上手训练营
-
第一课:亚马逊云科技简介
本课程帮助您初步了解云平台与本地环境的差异,以及亚马逊云科技平台的基础设施和部分核心服务,包括亚马逊云科技平台上的弹性高可用架构,架构设计准则和本地架构迁移上云的基本知识。
亚马逊云科技技术讲师:李锦鸿第二课:存储与数据库服务
您将在本课程中学习到亚马逊云科技上的三个存储服务分别是什么。我们也将在这个模块中为您介绍亚马逊云科技上的关系型数据库服务 Amazon Relational Database Service (RDS)。
亚马逊云科技资深技术讲师:周一川第三课:安全、身份和访问管理
在这个模块,您将学习到保护您在亚马逊云科技上构建的应用的安全相关知识,责任共担模型以及身份和访问管理服务, Identity and Access Management (IAM) 。同时,通过讲师演示,您将学会如何授权给 EC2 实例,允许其访问 S3 上的资源。
亚马逊云科技技术讲师:马仲凯 -
账单设置与查看
-
-
动手实操
-