【应用安全】RBAC与ABAC:有什么区别?

Chinese, Simplified

在任何公司,网络用户必须经过身份验证和授权,才能访问系统中可能导致安全漏洞的部分。获得授权的过程称为访问控制。在本指南中,我讨论了管理系统访问控制的两种主要方法:基于角色的访问控制(RBAC)和基于属性的访问控制。我还回顾了SolarWinds®访问权限管理器,它是我的首选解决方案,可帮助团队更轻松地监控整个组织的访问控制。

  • 身份验证和授权
  • 基于角色访问控制(RBAC)与基于属性访问控制(ABAC)
    • 什么是RBAC?
    • 什么是ABAC?
    • RBAC与ABAC
  • 最佳访问管理工具
  • 如何选择访问控制解决方案

身份验证和授权

安全的两个基本方面是身份验证和授权。输入凭据以登录计算机或登录应用程序或软件后,设备或应用程序将进行身份验证以确定您的授权级别。授权可能包括您可以使用哪些帐户、您可以访问哪些资源以及您可以执行哪些功能。

基于角色访问控制(RBAC)与基于属性访问控制(ABAC)

基于角色访问控制(RBAC)和基于属性访问控制(ABAC)是控制身份验证过程和授权用户的两种方式。RBAC和ABAC的主要区别是RBAC基于用户角色提供对资源或信息的访问,而ABAC基于用户、环境或资源属性提供访问权限。本质上,当考虑RBAC与ABAC时,RBAC控制整个组织的广泛访问,而ABAC采用细粒度方法。

什么是RBAC?

role-based access control

RBAC是基于角色的,因此根据您在组织中的角色,您将拥有不同的访问权限。这由管理员决定,管理员设置角色应具有的访问权限的参数,以及分配给哪些用户的角色。例如,某些用户可能被分配到一个角色,在该角色中,他们可以编写和编辑特定文件,而其他用户可能被限制为只能阅读文件,但不能编辑文件。

一个用户可以被分配多个角色,从而可以访问许多不同的文件或功能。假设有一个团队在一个大型项目上工作。项目经理可以访问所有文件,并可以编辑和更改项目中的内容。然而,开发团队可能只能访问编程文件,无法查看或编辑项目的财务信息或员工详细信息。另一方面,人力资源或管理团队可能可以访问所有员工和财务信息,但不能使用编程文件。

组织可能会将RBAC用于此类项目,因为使用RBAC,不需要在每次人员离开组织或更改工作时更改策略:只需将其从角色组中删除或分配给新角色即可。这也意味着新员工可以相对快速地获得访问权限,这取决于他们履行的组织角色。

 

什么是ABAC?

attribute-based access control

基于属性的访问控制利用了一组称为“属性”的特性。这包括用户属性、环境属性和资源属性。

  • 用户属性包括用户名、角色、组织、ID和安全许可等内容。
  • 环境属性包括访问时间、数据位置和当前组织威胁级别。
  • 资源属性包括创建日期、资源所有者、文件名和数据敏感性。

本质上,ABAC具有比RBAC多得多的可能控制变量。ABAC的实现是为了减少未经授权的访问带来的风险,因为它可以在更细粒度的基础上控制安全和访问。例如,ABAC可以对其访问设置进一步的限制,例如只允许在特定时间或与相关员工相关的特定分支机构访问,而不是让HR角色的人员始终能够访问员工和工资信息。这可以减少安全问题,也有助于以后的审核过程。

RBAC与ABAC

通常,如果RBAC足够了,您应该在设置ABAC访问控制之前使用它。这两个访问控制过程都是过滤器,ABAC是这两个过程中比较复杂的,需要更多的处理能力和时间。如果你不需要它,那么使用这个更强大的过滤器并承担相应的资源成本是没有意义的。

无论如何,使用最少数量的RBAC和ABAC过滤器来构建访问和安全环境都很重要。它可以帮助您仔细规划目录数据和访问方法,以确保您没有使用不必要的过滤器或使事情过于复杂。在许多情况下,RBAC和ABAC可以分层使用,RBAC协议实施广泛访问,ABAC管理更复杂的访问。这意味着系统将首先使用RBAC来确定谁有权访问资源,然后使用ABAC来确定他们可以使用资源做什么以及何时可以访问资源。

 

最佳访问管理工具

无论您使用RBAC还是ABAC,或者两者的组合,我强烈建议您使用访问权限管理工具。一个好的工具可以简化设置并减少设置和管理筛选器所涉及的管理开销。我选择的是Access Rights Manager,这是一个高质量的工具,专门用于管理和审核整个IT基础架构的访问权限。

Access Rights Manager包括一个用户管理系统,用于监视、分析和报告Active Directory和组策略,并可以向您显示所做的更改、更改者和更改时间,这有助于您最大限度地减少内部威胁的可能性。它包括旨在帮助您实施特定于角色的安全性以及用户帐户的设置和取消设置的模板。您可以在一个简单的过程中顺利地委派对文件、文件夹或资源的访问,以减少管理开销。

如何选择访问控制解决方案

在安全方面,仔细规划和监控访问控制过程至关重要。使用强大的访问管理工具来帮助您设置访问控制,并定期检查您的设置,以确保它仍然符合您的组织需求。无论您是投资SolarWinds的Access Rights Manager,还是走另一条路,请确保您选择的工具可以设置协议和机制,以确保用户能够正确访问他们的工作所需的内容,而无需其他。

SEO Title
RBAC vs. ABAC: What’s the Difference?