零信任架构和访问控制模型ABAC
近几年,权限访问控制模型被反复提及,目前常用的是RBAC(Role-Based Access Control),RBAC是迄今为止最为普及的权限设计模型,其优点是简单,实现起来非常容易。
但是随着授权需求复杂度的提升和对控制逻辑灵活性的高度要求,ABAC(attribute-based access control)访问控制模型将会越来越普及。近期火爆的零信任架构里,ABAC模型就比RBAC更加合适。
ABAC既然是针对属性(attributes)的,那我们先来看看它一般是针对哪些属性进行授权控制的。属性可以是任意的对象,一般会涉及的属性主要是以下四类:
1、访问主体属性:访问者自带的属性,比如年龄,性别,部门,角色等;
2、动作属性:比如读取,删除,查看等;
3、对象属性:被访问对象的属性,比如一条记录的修改时间,创建者等;
4、环境属性:比如时间信息,地理位置信息,访问平台信息等。
基于属性,ABAC可以设置很多灵活的策略来进行访问的控制,比如:
1、当一个文档的所属部门跟用户的部门相同时,用户可以访问这个文档;
2、当用户是一个文档的额拥有者并且文档的状态是草稿,用户可以编辑这个文档;
3、早上九点前禁止A部门的人访问B系统;
4、在除了上海以外的地方禁止以管理员身份访问A系统。
看起来是不是挺强大的。
因为模型是基于策略,而策略又是基于各种灵活的属性动态控制的,所以ABAC模型里通常有配置文件(XML、YAML等)或DSL配合规则解析引擎使用。规则引擎负责控制逻辑的处理,配置文件负责策略的定义和描述。
XACML(eXtensible Access Control Markup Language)就是基于ABAC访问模型的一个实现(可能也是最复杂的一种实现)。
在XACML的架构中,有5种控制节点:
典型的访问请求是这样流转的:
用户访问资源,发送原始请求,请求会被PEP拦截;
PEP把请求转换成一个XACML的访问申请请求;
PEP把访问申请请求转发给PDP;
PDP根据策略配置对认证请求进行评估。策略保存在PRP,并由PAP维护。如果需要采集属性信息,还会从PIP收集属性;
PDP收到访问申请请求的结果(允许,禁止)并发送给PEP;
PEP根据收到的信息,允许或者禁止用户访问资源。
不想看字那就看图:
我们再来看一下ABAC访问控制模型和零信任架构的结合点,从Gartner提供的报告中,我们可以看到典型的零信任架构图如下:
SDP Gateway是用于做访问拦截和访问代理,这个跟XACML里的PEP功能类似。
SDP Controller是做访问控制的策略定义和执行,这个则是包含了XACML里除了PEP以外的节点的功能。
ABAC可以说是缩小版的零信任模型。
零信任架构是想解决最小化授权、策略集中化管理、动态授权控制、自适应授权控制等问题。这些功能的实现跟ABAC权限控制模型不谋而合(也有厂商的零信任架构是基于ABAC和RBAC两种授权控制模型结合实现的)。
然后就是策略文件的构成,策略文件是非常重要的文件,所有的决策都是根据策略文件来判断的
零信任架构和访问控制模型ABAC相关推荐
- 实施零信任要考量什么因素?| CSA发布《实战零信任架构》
关注微信公众号"云安全联盟CSA" 回复"实战零信任架构"即可下载全文 为什么选择零信任? 5G .云计算.物联网 (IoT) 和面向微服务的架构广泛使用,固定 ...
- 零信任架构在企业中的应用
⼀.前⾔: "零信任⽹络"(亦称零信任架构)⾃2010年被当时还是研究机构Forrester的⾸席分析师JohnKindervag提出时起,便⼀直处于安全圈的"风⼝浪尖& ...
- 一文读懂零信任架构的概念、现状和挑战(来自玉符科技CEO专访内容)
2020年,企业高管和CISO们的头号任务就是数据安全和隐私保护,对于拥有海量用户数据的企业来说,数据安全和隐私保护正面临三大挑战:合规.远程办公加速安全边界消失.数字化转型(上云).而零信任正是当下 ...
- 为何零信任架构身份管理平台更可靠?
随着信息技术的不断进步,云计算.物联网以及移动设备的普及,信息泄露等安全问题愈发频繁.近期,一起某高校学生的信息泄露事件引发了大家的广泛讨论.该校学生利用其身份便利,非法获取了大量学生的姓名.学号.照 ...
- 美军网络安全 | 2020年底国防部将提供零信任架构
文章目录 前言 一.国防部零信任架构推进计划 二.零信任引领国防部安全架构的转型 三.理解国防部网络安全架构的演进过程 一.国防部零信任架构推进计划 1.女性中将公布国防部零信任架构年底发布计划 20 ...
- 零信任架构的实施规划——针对联邦系统管理员的规划指南
2022年5月,NIST发布CSWP 20白皮书<Planning for a Zero Trust Architecture:A Planning Guide for Federal Admi ...
- 去中心身份与可信身份,零信任架构
可信身份可以是中心化的,也可以是去中心化的,所以这里专门把可信.去中心二者并列. 中心化情况下,中心提供者无法自证清白,某些不诚实的中心提供者还会冒用用户身份作恶. 而且中心化逻辑下,中心保存了大量用 ...
- 错误:非法证书不受信任_企业零信任:完善访问控制
错误:非法证书不受信任 This blog was co-written by Max Saltonstall and Jen Person 该博客由 Max Saltonstall 和Jen Per ...
- 基于属性的访问控制模型ABAC
针对传统访问控制模型难以解决的动态.细粒度访问控制问题,研究人员提出了基于属性的访问控制模型(attribute-based access control,简称ABAC).ABAC 模型基于实体属性而 ...
最新文章
- Oracle报错createPool,Jmeter中连接Oracle报错Cannot create PoolableConnectionFactory
- mongodb可视化工具连接报错
- python文件对象提供了3个读方法、分别是-python3基础之文件对象操作
- onblur 对象失去焦点事件
- OpenCV 霍夫线变换Hough Line Transform
- Python 框架 之 Scrapy 爬虫(一)
- 分析容灾备份建设需求
- 长途货运4大痛,Uber新上的「自动驾驶卡车」如何改善?
- scrum 11.28
- Git超详解八 git工作流
- android模拟器登录用户,如何在模拟器上登录小米账号的游戏
- python语言count什么意思_python中count函数是什么意思?
- C#多个DataTable根据某一列匹配,其余字段相加求和的高效算法。
- 路由器刷openwrt
- 【成功解决】运行qt生成的.exe文件报“无法找到入口”的问题
- SOFA 应用架构详解
- 静静的推荐分数 20作者 陈越单位 浙江大学
- dmp标签_一种基于DMP标签的管理平台及方法与流程
- 短视频三要素之封面,如何设计引人关注的封面呢?
- C语言 小明的调查作业