技术雷达

业界资讯、技术攻略、体育直播

齐治堡垒机运维安全:授权和访问控制的区别与关联

技术雷达
,

作为从事运维安全管理18年的老兵,齐治科技在数据中心运维安全管理领域不仅拥有堡垒机、特权账号管理等产品,更重要的是,拥有运维安全管理的全盘理念、全面思考、技术聚焦及应用实践。在3000+大型用户的充分调研、实践及优化中,齐治对于整个数据中心运维如何高效、安全运转,有着独特的见解。

 

在齐治的设计思想和实践操作中,运维安全管理的核心就是权限最小化。所谓的最小化,即是在访问路径中的每个端点处都要做到权限的细分和管控。比如,在桌面端对来源进行识别和管控,在网关侧对会话进行连接和控制,在服务端对账号做统一纳管和监控。
那么,对于用户来说——最小化意味着,授权要给到正确的人,正确的权限,而访问控制则是控制和核验这个人是否在权限内做事情。授权和访问控制有什么区别和关联呢?
授权和访问控制发生在不同阶段 
授权,字面意思就是给予权利,属于事前。比如张三要访问某一台服务器server1,就必须提前有访问服务器server1的权限,于是他要申请这条权限并注明事由。管理员得到批复后再帮他完成授权的过程后,张三就获得了这条权限——此时,张三还未访问,但权限已经生效了。

 

访问控制, 意义在于访问的过程中进行控制,属于事中。张三在获得server1的权限后进行了访问,但误执行了重启操作,导致一批业务受到了影响。这时,就需要访问控制了。虽然张三有访问server1的权限,但在访问过程中执行重启操作是不被允许的。

 

总结来说,授权是事前对主体和权限内容进行约束, 访问控制是对事中的风险动作进行有效阻拦。

 

有驾照能开车上路,但仍要遵守交通规则,

这就像“授权”和“访问控制”的关系。

 

授权和访问控制有节奏区别  
可以看到,授权和访问控制发生在不同的阶段。

授权,是操作开始前的准备工作。授权的重点在于事前规划,事情发生前先规定好谁,能做什么。把所有的用户、账号全部事先划分好他们的责权利,并将所有的责权利统一管理起来。可以说,授权就是一张大表,用户和账号只能按表索骥,做表里允许他们做的事情。当然,授权是可以变更的,同一个账号,可能因为业务的需要,更改了权限。
而访问控制发生在操作进行中。用户或账号已经登录,开始“干活”了,进行实际操作,在这个过程中,访问控制实时监控账号操作,发现非授权操作,或者非法操作,则进行警告或制止。
授权和访问控制有密切关联  
二者的关联其实是组合。在不同阶段做了权限控制的事情,既有事前,又有事中,组合在一起帮助用户做好细粒度管控,如果再加上事后的审计,就形成了运维管理的闭环。
有策略的是,不同的用户场景,可以使用不同的授权。齐治科技堡垒机提供不同授权方式,既灵活又高效。比如,按规则批量进行动态权限配置,极大简化权限配置的工作量。再比如,基于流程的授权模式适合管理员未配置权限时申请访问某资源的场景,基于会话的授权模式适合访问核心资产或执行高危命令时严格管控的场景。
访问控制尽管是事中控制,齐治科技也根据不同场景提供了不同的方式。网盘式的文件传输,可方便、快捷控制上传、下载、分享传输文件;会话共享功能可实现协同会诊、故障快速诊断。齐治科技充分尊重用户的使用习惯,支持Web插件、本地工具访问、HTML5运维等多种访问形式。
全新、多样化的权限管理手段,加上高效、安全的访问控制策略,二者相辅相成,互相制约,互相作用,帮助用户实现了权限最小化。
数据中心运维管理的权限最小化不是几个字那么简单,需要在多年的实践经验中,根据用户的使用场景,给出最优化、最安全的整体解决方案。17年来,齐治专注于为高端客户解决复杂运维管理问题,并将这些问题的解决方案融入到产品的更新换代中,从而为更多的用户提供一体化、安全的解决方案。

评论

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注