特權使用者訪問管理如何避免訪問蠕變

好吧，讓我們假設你的活動目錄是簡潔、中等和正確的：它包含你組織內的所有使用者，並且當前他們是被許可的。這種令人高興的狀態要歸功於健全的帳戶管理生命週期。是否達到這點後你就可以止步不前了呢？不是。

雖然擁有真實反映組織內有哪些賬號的活動目錄，這讓it系統不斷地變得更好（即使節奏緩慢），但它還沒有好到能確保這些活躍的身份只具有為完成工作所需要的特權。無論是因為他們的活動目錄不支援足夠細粒度化的許可權，或是由於他們只有少量的職員所以必須授予許多人寬泛的訪問許可權，或者是因為他們有大量的職員，而人員的職位變更易於積累他們曾經擁有的所有特權——被稱作訪問蠕變（許可權氾濫）——控制特權賬戶的系統訪問是個極大的挑戰。

當正確地控制訪問特權以及如何使用它們時，乙個關鍵原則是實施基於角色的訪問控制（role-based access control，rbac）。rbac原則認為：不要直接管理使用者的帳戶特權。而是定義使用者們履行某個特定角色需要的特權，然後為適當的使用者帳戶分配角色。當使用者的角色發生變化時他們的訪問許可權也隨之變化。這個方法緩解了特權蠕變問題，當某人的角色從dba變為unix系統管理員時，他們會失去原先工作角色需要的資料庫特權，但同時獲得之前不需要的os級別的特權。

為了讓基於角色的管理健全地執行，並且滿足審計人員的需要，it部門需要盡可能地保持角色設定簡單，減少它在實際運作中要求的例外情況，並有一些「外援」來管理賬戶特權的使用。基本上，身份管理系統能幫助你進行基於角色的管理，並且有些在你將使用的角色集、以及你同意的例外情況最小化方面做的很好，還有更少一些能有力地幫助你追蹤特權是如何被使用的，或給予你對它們進行細粒度控制的其他能力。

注意，當我們提到特權時是指it人員（以及審計人員）通常所理解的，即主要是想追蹤與系統、資料庫以及網路管理有關的特權。這些****被授予對嚴格保護資料的廣泛、甚至是不受約束的訪問。然而，應該指出的是，其它特權也可能引起其它業務部門的興趣，例如能夠在存有掃瞄紙質**映象的儲存裝置上建立、或刪除文件映象。

許可權管理工具（又名特權帳戶管理、超級使用者特權管理、或是特權使用者管理工具）幫助你超越賬戶和角色。它們超出了傳統工具所能提供的支援，能幫助填補特權使用者訪問管理的差距，授予關於特權使用額外的可視性，給使用者或系統授予訪問時額外的粒度。

理想的特權管理（privilege management，pm）工具應該是：

• 比起標準的帳戶特權組更加細粒度：例如，乙個pm工具能授予、或限制對應用內特定元件的訪問（例如，有選擇性地允許或是禁止「另存為」或是「列印」）；基於各種因素過濾角色所被賦予特權中的子集，包括人們從**登入以及最近他們做了什麼；給其它非特權角色或程序賦予特定的提公升特權。

• 能容易地與非活動目錄賬戶協作，例如伺服器和桌面系統的本地管理員賬戶。

• 不僅能管理你的活動目錄裡面的特權使用者，還包括你關心的所有平台：包括windows、linux、unix或是其它系統。管理包括變更管理，例如確保某個特權使用者做出的變更不會意外地影響到其他人的工作，如某人修改伺服器上好幾個人需要訪問的本地管理員賬戶的密碼。

• 能審計特權的使用情況：例如，該特權管理工具能推動管理員反覆地核查進出的訪問（可能是通過一次性密碼），並追蹤每次敏感的訪問許可權的使用，以及追蹤使用共享賬戶的真實人員。

如果it部門希望對特權賬戶的管理至少和身份管理一樣成功，這些能力會被越來越多地看作是必備條件。

關於作者：

john burke是nemertes研究公司的首席研究員，他為關鍵企業和廠商使用者提出建議，實施和分析主要的研究，並且撰寫涉及各種主題的具有領先理念的文章。

techtarget中國原創內容

特權使用者訪問管理如何避免訪問蠕變

核心如何訪問使用者空間

MySQL使用者管理和訪問許可權

如何訪問redis中的海量資料？避免事故產生

特權使用者訪問管理 如何避免訪問蠕變

核心如何訪問使用者空間

MySQL使用者管理和訪問許可權

如何訪問redis中的海量資料？避免事故產生

相關推薦

特權使用者訪問管理如何避免訪問蠕變