IT運(yùn)營(yíng)團(tuán)隊(duì)和安全團(tuán)隊(duì)一直在打仗。數(shù)據(jù)中心安全標(biāo)準(zhǔn)對(duì)使用這些系統(tǒng)的人會(huì)產(chǎn)生極大的影響。安全管得太死,會(huì)讓管理員們幾乎無(wú)法正常工作。
應(yīng)用和系統(tǒng)程序員需要權(quán)限才能對(duì)系統(tǒng)進(jìn)行操控、檢測(cè)和修復(fù)問(wèn)題。同時(shí),公司必須防止未經(jīng)授權(quán)的信息流出,包括客戶、員工或其他機(jī)密信息。為了維持可用性,企業(yè)限制任何人進(jìn)行隨意的、未經(jīng)計(jì)劃的或惡意的更改。那么,公司在提適當(dāng)?shù)臋?quán)限用于技術(shù)支持的同時(shí),如何才能兼顧數(shù)據(jù)保護(hù)和可用性?
數(shù)據(jù)中心身份管理有多種實(shí)現(xiàn)方式,包括組登錄ID、應(yīng)急Id 和備用Id(group logon IDs, firecall IDs and alternate IDs)。讓我們看看每一項(xiàng)安全措施和相關(guān)聯(lián)的問(wèn)題。
組登錄ID:一些公司將很高的權(quán)限分配到一個(gè)功能組,任何屬于組成員的登錄ID均享有該權(quán)限。您可以對(duì)該組ID進(jìn)行控制,在分配訪問(wèn)權(quán)限之前要求技術(shù)員輸入批準(zhǔn)的修改代碼。
這個(gè)方案有多個(gè)優(yōu)點(diǎn)。首先,很容易對(duì)這些ID執(zhí)行的每個(gè)操作進(jìn)行記錄和審核。它還可以避免單獨(dú)的用戶獲得過(guò)多權(quán)限,并根據(jù)組ID的來(lái)實(shí)現(xiàn)控制,這意味著任何對(duì)系統(tǒng)的更改必須已經(jīng)經(jīng)過(guò)了深思熟慮、計(jì)劃和審查。
應(yīng)急ID:應(yīng)急ID和組ID類似,但是應(yīng)急ID只有有限的應(yīng)用范圍和使用壽命。一般情況下,一個(gè)需要非正常訪問(wèn)權(quán)限的程序員必須被分配或創(chuàng)建一個(gè)應(yīng)急ID。附加的控制條件可能包括一個(gè)一次性密碼和一個(gè)過(guò)期時(shí)間,這限制了應(yīng)急ID的使用期限。
應(yīng)急ID和組ID一樣可以被嚴(yán)格的審核,IT部門(mén)可以把各種各樣的控制措施附加于應(yīng)急ID的獲取過(guò)程。此外,應(yīng)急訪問(wèn)的控制粒度可以比組ID更細(xì)。例如,一個(gè)組ID可能允許更新系統(tǒng)數(shù)據(jù)庫(kù)并重新組織數(shù)據(jù)庫(kù),同時(shí)我們可以設(shè)置兩個(gè)不同的應(yīng)急ID對(duì)應(yīng)每個(gè)不同的功能。
備用ID:備用ID的權(quán)限仍然是針對(duì)個(gè)別用戶的。但備用ID不是在所有時(shí)間都具備完全訪問(wèn)權(quán)限,安全團(tuán)隊(duì)移除正常管理ID的高級(jí)別權(quán)限后,將這些權(quán)限轉(zhuǎn)移分配給備用ID。這將允許技術(shù)支持人員使用他們常用的ID監(jiān)測(cè)系統(tǒng),由于高權(quán)限被消除,系統(tǒng)被修改的風(fēng)險(xiǎn)也得以消除。于是,當(dāng)管理員需要進(jìn)行任何修改時(shí),反而需要登錄到他或她自己的備用ID。
備用ID比組ID或者應(yīng)急ID更靈活。它們可以更快速地訪問(wèn)高級(jí)權(quán)限;當(dāng)然,它們更難控制。
關(guān)于應(yīng)急ID和組ID的爭(zhēng)議
應(yīng)急ID和組DI有幾個(gè)共同缺點(diǎn)。第一,雖然可以盡可能地對(duì)兩個(gè)ID進(jìn)行嚴(yán)格審核,仍然難以避免某些隱蔽的修改操作。例如,IBM的互動(dòng)系統(tǒng)生產(chǎn)力基金(ISPF)對(duì)于更新庫(kù)目錄分區(qū)數(shù)據(jù)集(PDS)的操作,只記錄最后一個(gè)操作賬戶的ID。在這種情況下,ISPF的記錄存儲(chǔ)的是應(yīng)急或組的ID,但誰(shuí)在使用這個(gè)ID則無(wú)從知曉。
因?yàn)橛袝r(shí)候公司會(huì)在緊急情況下用到緊急ID,此種情況下ID的獲取流程就會(huì)成為一個(gè)問(wèn)題。如果獲取一個(gè)應(yīng)急ID花費(fèi)的時(shí)間太長(zhǎng),或者需要太多的文件或級(jí)別的批準(zhǔn),本來(lái)短時(shí)間就能解決的停機(jī)可能很容易變得漫長(zhǎng)。
組ID也有一個(gè)類似的缺陷。想象某一天停電,唯一具備足夠高權(quán)限修復(fù)故障的ID卻被某人鎖定,而且那個(gè)人剛好當(dāng)天離開(kāi)了。
這里有幾個(gè)兼顧數(shù)據(jù)中心安全和可用性的最佳實(shí)踐:
允許應(yīng)用程序和系統(tǒng)開(kāi)發(fā)人員監(jiān)控生產(chǎn)環(huán)境。就算所有最近的開(kāi)發(fā)項(xiàng)目都處在自動(dòng)化狀態(tài),就算你有“自主”系統(tǒng),仍然有必要對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行主動(dòng)監(jiān)控,這樣才能實(shí)現(xiàn)最高的可用性級(jí)別。正確分配的只讀訪問(wèn)權(quán)限肯定不會(huì)對(duì)可用性造成威脅。
如果三個(gè)選項(xiàng)都能實(shí)現(xiàn)功能,此時(shí)備用ID可能是最好的選擇。備用ID可以被日志記錄——這一點(diǎn)和組和應(yīng)急ID登錄一樣——系統(tǒng)內(nèi)總會(huì)留下一些可供審計(jì)追蹤的痕跡。備用ID讓支持人員在必要的時(shí)候可以快速行動(dòng)。
如果一家公司希望使用應(yīng)急或組ID,務(wù)必先建立完美平衡安全控制和快速實(shí)現(xiàn)訪問(wèn)的流程。此外,部署控制應(yīng)急ID的軟件應(yīng)該成為企業(yè)的最高可用性目標(biāo)之一。
一個(gè)部門(mén)可能要指定幾個(gè)可靠的人員,授予生產(chǎn)系統(tǒng)的完全權(quán)限,在情況要變得糟糕時(shí)能成為一支救場(chǎng)的奇兵。雖然這可能會(huì)成為其它控制手段的漏洞,但如果真出現(xiàn)狀況了,它確實(shí)會(huì)更快地解決問(wèn)題。請(qǐng)信任你的技術(shù)支持人員。他們也在為企業(yè)的成功而盡力,而且和管理者一樣不喜歡停機(jī)。
河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬(wàn)的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:
0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:
0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話:
0371-60135995
服務(wù)熱線:
0371-60135900