許多雲端系統在設計權限控管時,習慣將「授權」視為一次性的動作。通常使用者在登入時通過身分驗證,系統會根據其角色(例如:客服人員)賦予對應的權限(例如:讀取客戶資料庫)。然而,這種傳統的授權模型存在一個致命漏洞:它只決定了使用者「能不能」做某件事,卻沒有評估在目前的情境下,使用者「應不應該」做這件事。
想像一個場景:一名客服人員在早上 9 點登入系統,權限正常。但到了 10 點,他突然嘗試將 5,000 筆病人紀錄匯出為 CSV 檔。在傳統的 RBAC(Role-Based Access Control,基於角色的存取控制)模型中,只要他擁有讀取權限,這個操作就是合法的。直到數小時後,安全監控系統(SIEM)發出警報,調查人員才會發現資料外洩,但結論往往是「該使用者確實擁有相應權限」。
這種「登入即授權」的落差,正是為什麼敏感系統需要導入「持續授權」(Continuous Authorization)的原因。
什麼是持續授權
持續授權的核心理念是將每一次對敏感資料的操作,都視為一個獨立的授權決策點。它不再僅僅依賴靜態的角色定義,而是將權限檢查從「登入時」移至「執行時」。
簡單來說,系統不再只問:「這個角色有權限執行 SELECT 嗎?」而是問:「這個使用者,在目前的地理位置、使用這台設備、在這個時間點,執行這次大規模的查詢,是否符合其平常的行為模式且風險可控?」
持續授權的技術架構
要實現持續授權,需要在應用程式邏輯與資料存取層之間建立一個策略決策點(Policy Decision Point, PDP)。這個組件會整合多維度的信號來評估風險:
行為基準(Behavioral Baselines):系統在背景持續更新使用者的行為剖面。例如,一名分析師平常每天查詢 100 筆資料,若突然嘗試下載 1 萬筆,就會觸發高風險警報。
環境信號(Environmental Signals):包括 IP 範圍、瀏覽器一致性、是否為公司管理設備(Managed Device)等。這些資訊獲取成本低,但能快速識別憑證盜用(例如:登入地點與操作地點在短時間內發生劇烈變動)。
資料敏感度(Data Sensitivity):針對不同等級的資料採取不同強度檢查。存取一般資訊可能僅需快取授權,但存取高度敏感的個人隱私資料(PII)或醫療紀錄(PHI)則必須經過即時評估。
風險分級與對應動作:PDP 將上述信號綜合評分,分為低、中、高風險。低風險直接允許;中風險可能要求額外的身分驗證(Step-up Verification);高風險則直接阻斷並通知管理員。
實務上的挑戰與優化
對於工程師而言,在每個請求都加入複雜的風險評估會帶來巨大的延遲(Latency)問題。為了平衡安全與效能,可以採取以下策略:
選擇性評估與分層快取:並非所有請求都需要最高等級的審查。常規操作可以使用短時間的授權快取,只有當行為偏離基準或觸發高敏感資料時,才強制進入即時評估流程。
隱私保護的稽核日誌:合規要求(如 GDPR 或 HIPAA)需要詳細紀錄,但如果日誌直接寫「使用者 A 存取了病人 B 的紀錄」,日誌本身就變成了敏感資料。建議記錄「上下文證據」,例如:「使用者 Hash A 在管理設備 B 上執行高敏感讀取,風險等級低,結果:核准」。這樣既能滿足稽核需求,又避免了敏感資料的二次洩漏。
循序漸進的部署路徑
持續授權的策略如果一次性全面上線,極容易導致大量誤判(False Positives)而癱瘓業務。建議採取三階段部署:
第一階段:影子模式(Shadow Mode)。系統在背景計算授權結果並記錄,但不實際阻斷任何操作。這能讓團隊觀察真實流量,調整行為基準。
第二階段:有限強制(Limited Enforcement)。針對部分高風險操作要求填寫理由或觸發警告,驗證策略是否符合實際工作流。
第三階段:全面執行(Full Enforcement)。正式阻斷高風險操作,並將其導向審核流程。
適用場景與建議
持續授權並不適合所有系統。對於低敏感度或內部分析系統,傳統的權限控管已足夠。但如果你的系統涉及以下場景,則應優先考慮:
大規模資料匯出(Bulk Exports):這是最容易發生外洩且風險最高的環節。
跨租戶存取(Cross-tenant Access):例如雲端服務商的工程師需要臨時進入客戶環境進行維修。
機器對機器存取(M2M Access):API 服務帳號沒有人類行為,應針對查詢量、執行時間窗(Execution Windows)設定嚴格的行為基準。
總結
在零信任(Zero Trust)的架構下,授權不再是登入時的單次門票,而是一場持續的對話。透過將授權決策移至操作瞬間,並結合行為分析與環境上下文,我們可以有效降低因權限過大或憑證外洩而導致的大規模資料災難。
來源:infoq.com - Designing Continuous Authorization for Sensitive Cloud Systems
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。