【安全技术】RBAC与ABAC：有什么区别？

语言 Chinese, Simplified

SEO Title

身份验证和授权

安全的两个基本方面是身份验证和授权。在您输入登录计算机或登录应用程序或软件的凭据后，设备或应用程序将进行身份验证以确定您的授权级别。授权可能包括您可以使用哪些帐户、您可以访问哪些资源以及您被允许执行哪些功能。

基于角色的访问控制与基于属性的访问控制

基于角色的访问控制和基于属性的访问控制是控制身份验证过程和授权用户的两种方式。RBAC和ABAC之间的主要区别在于，RBAC根据用户角色提供对资源或信息的访问，而ABAC根据用户、环境或资源属性提供访问权限。从本质上讲，在考虑RBAC与ABAC时，RBAC控制着整个组织的广泛访问，而ABAC则采用细粒度的方法。

什么是RBAC？

RBAC是基于角色的，因此根据您在组织中的角色，您将拥有不同的访问权限。这由管理员决定，管理员设置角色应具有的访问权限的参数，以及为哪些用户分配哪些角色。例如，一些用户可能被分配到一个可以写入和编辑特定文件的角色，而其他用户可能被限制在读取文件但不编辑文件的角色中。

一个用户可以被分配多个角色，让他们访问许多不同的文件或能力。假设有一个团队正在进行一个大型项目。项目经理将有权访问所有文件，并可以编辑和更改项目中的内容。但是，开发团队可能只允许访问编程文件，无法查看或编辑项目的财务信息或员工详细信息。另一方面，人力资源或管理团队可能可以访问所有员工和财务信息，但对编程文件没有用处。

一个组织可能会将RBAC用于这样的项目，因为使用RBAC，不需要每次有人离开组织或更改作业时都更改策略：只需将其从角色组中删除或分配给新角色即可。这也意味着新员工可以相对快速地获得访问权限，具体取决于他们所扮演的组织角色。

什么是ABAC？

基于属性的访问控制利用了一组称为“属性”的特征。这包括用户属性、环境属性和资源属性。

用户属性包括用户名、角色、组织、ID和安全权限等。
环境属性包括访问时间、数据位置和当前组织威胁级别。
资源属性包括创建日期、资源所有者、文件名和数据敏感性等。

本质上，ABAC的可能控制变量比RBAC多得多。ABAC的实现是为了降低未经授权访问的风险，因为它可以在更细粒度的基础上控制安全和访问。例如，ABAC可以进一步限制他们的访问权限，例如只允许在特定时间或与相关员工相关的某些分支机构访问，而不是让人力资源角色的人始终能够访问员工和工资单信息。这可以减少安全问题，也有助于以后的审计过程。

RBAC与ABAC

通常，如果RBAC就足够了，您应该在设置ABAC访问控制之前使用它。这两个访问控制过程都是过滤器，ABAC是两者中更复杂的，需要更多的处理能力和时间。如果你不需要它，使用这个更强大的过滤器并产生相应的资源成本是没有意义的。

无论哪种方式，使用最少数量的RBAC和ABAC过滤器来构建您的访问和安全环境都很重要。它可以帮助您仔细规划目录数据和访问方法，以确保您没有使用不必要的过滤器或使事情变得过于复杂。在许多情况下，RBAC和ABAC可以分层使用，RBAC协议强制执行广泛的访问，ABAC管理更复杂的访问。这意味着系统将首先使用RBAC来确定谁有权访问资源，然后使用ABAC来确定他们可以对资源做什么以及何时可以访问它。

最佳访问管理工具

无论您使用RBAC还是ABAC，或者两者的组合，我强烈建议您使用访问权限管理工具。一个好的工具可以简化设置，减少设置和管理过滤器所涉及的管理开销。我选择的是Access Rights Manager，这是一个高质量的工具，用于管理和审计整个IT基础设施的访问权限。

Access Rights Manager包括一个用户管理系统，用于监视、分析和报告Active Directory和组策略，并可以向您显示已进行的更改、由谁进行的更改以及何时进行的更改，这有助于您最大限度地减少内部威胁的可能性。它包括旨在帮助您实施特定于角色的安全性以及用户帐户的配置和取消配置的模板。您可以在一个简单的过程中顺利地委派对文件、文件夹或资源的访问，以减少管理开销。

如何选择访问控制解决方案

在安全方面，仔细规划和监控您的访问控制过程至关重要。使用强大的访问管理工具来帮助您设置访问控制，并定期检查您的设置，以确保它仍然符合您的组织需求。无论您是投资SolarWinds的Access Rights Manager还是选择其他途径，请确保您选择的工具可以设置协议和机制，以确保用户能够正确访问他们完成工作所需的内容，仅此而已。

本文地址

https://architect.pub