什么是基于属性的访问控制？

保护敏感数据需要的不只是简单的开关控制。当企业将资产迁移到云端时，他们就需要一种能够灵活管理访问权限的机制，这种机制能够根据上下文、身份以及数据的敏感性来即时调整访问权限。基于属性的访问控制机制正是提供了这种灵活性，它可以根据动态因素来决定是否授予或拒绝访问权限，从而帮助企业保护信息安全，同时不会影响到关键业务的运行。

基于属性的访问控制定义

基于属性的访问控制（ABAC）是指一种访问控制机制，它根据对象的属性来决定是否允许对某个对象进行访问。一种基于属性来授予访问权限的授权系统。ABAC系统允许具有特定资格的用户访问相关功能。这些资格可能包括用户的角色、当前时间，甚至用户的设备位置等。

ABAC背后的理念是：通过精细化的控制手段，来保护数据和应用程序的安全。那些未能满足预定义条件的用户，将无法获得访问权限。敏感数据应该得到保护，而经过审核合格的用户则可以正常执行他们的任务。

基于属性的控制方式它作为一种替代方案，可以取代基于角色的访问控制机制。ABAC提供了更大的灵活性，能够适应不断变化的环境，从而实现动态校准。能够实现对用户访问关键资源的精细管理。在这样一个充满网络安全威胁且数据泄露后果严重的世界里，这一点至关重要。

ABAC组件

通过使用XACML代码，可以将各种属性嵌入到访问策略中。这一功能使得管理员能够针对不同的应用程序、数据集、用户组或地理区域来定制安全设置。

控制通常可以分为四类：主体、资源、行动以及环境属性。

1. 主题属性

在基于属性的访问控制系统中，主体就是那些提出访问请求或试图执行某种操作的用户。研究对象可以通过多种方式来识别：

• 独特的ID和职位信息。
• 特定用户组的成员资格。
• 资历等级或部门隶属关系。
• 安全审查/许可程序。

个人用户的信息通常来自人力资源部门所维护的数据库。ABAC系统会利用现有的人力资源数据，来制定关于谁可以访问这些数据，以及他们访问后能够执行哪些操作的规则。

ABAC系统还可以使用认证令牌来收集用户的相关信息。这是一种有效的手段，可以用来验证和授权那些需要访问公司敏感资源的远程用户。

2. 资源属性

资源属性指的是用户想要访问的对象。这包括应用程序、服务器、API以及各个文件。相关的属性各不相同，但可能包括文件的创建日期、修改日期、文件类型，以及资产的敏感等级。

这些特性使得管理员能够实施基于属性的精细控制，从而保护数据库或应用程序的安全。例如，安全团队可以限制只有那些隶属于特定部门的医生才能访问医疗记录。

3. 行为/行动

“行为”指的是用户与网络资源进行交互的方式。这些属性在不同环境中会有所不同。不过，常见的操作属性包括读取、写入、删除、保存和传输等。这些核心操作涵盖了大多数可能导致数据被泄露的操作。

在实施了基于属性的访问控制之后，管理员可以限制数据的滥用行为。管理员可以定义个人可以执行哪些操作。他们还可以设定允许的操作场景，甚至可以在特定的时间或地点允许某些操作的发生。

4. 环境属性

环境属性指的是与自然环境相关的各种特征或特性。关于访问事件发生的上下文的相关信息。常见的属性包括一天中的时间、设备的位置、时区以及设备的类型。

设置环境属性值有很多优点。例如，限制附近区域的用户访问权限，可以使得攻击者难以从其他地区获取访问权限。即使攻击者已经获得了合法的凭证，这种情况仍然适用。

环境属性还可能包含历史信息。访问控制机制可以记录用户在前一次会话中的行为，从而判断用户是否表现出异常行为。这样就能在最高级别上增加一层安全保障。

上述列出的属性类型是无法单独使用的。实际上，智能访问限制机制包含了对每个资源的多种属性进行管控。通过结合这些不同的属性，安全团队可以控制谁能够访问重要数据，同时又不让合法用户的使用体验变得复杂化。

基于属性的访问控制是如何工作的？

ABAC系统允许只有拥有正确属性的用户才能访问该系统。该系统就是这样工作的。它将用户档案与基于属性的访问控制策略进行比较。这就是为什么ABAC也被称为基于策略的访问控制。

在某些情况下，基于属性的访问控制也被称为基于声明的访问控制。这种机制通常与微软的实现方式相关，但实际上这两种模型是可以互换的。

访问控制策略规定了访问各种资源的规则。XACML或SAML代码使得用户与资源之间的匹配变得非常简单。

政策其实就是一系列简单明了的条款或条件而已。例如，访问策略可能如下所示：

• 如果该人员是一名高级律师，那么他们应该拥有对案件记录的全面阅读、传输和编辑权限，同时还应能够访问法律数据库。

在该政策中，涉及的是“高级律师”这一员工类别。该政策明确规定，允许进行“阅读”、“转移”和“编辑”等操作。此外，该政策还提到了两个资源：“案件记录”和“法律数据库”。

管理员可以在访问决策中考虑时间因素。他们可以允许在案件处理过程中进行编辑操作。或者，他们也可以允许访问那些与美国境内案件相关的法律数据库。

基于属性访问控制的优势

ABAC已成为管理关键资源访问的标准方式。自2011年以来，联邦首席信息官委员会一直建议采用基于属性的控制措施来管理和保护关键数据的共享与存储。

该模型受欢迎的原因有很多。例如，ABAC技术的优势包括：

• 灵活性企业可以通过调整相关属性设置来扩大访问权限，或者根据具体情况严格限制访问权限。金融机构可以限制来自某些地点或特定类型账户的交易。教育机构则可以允许学生访问相关信息，但同时让每个学生的个人信息都保持独立状态。
• 易于使用ABAC为用户提供了简单的界面。使用通用语言来编写策略，使得这些策略易于理解且便于修改。计算语言则使得策略的修改和向所有相关资源的推送变得简单。IT团队可以专注于技术方面的问题，而将许多访问管理任务委托给资源所有者来处理。
• 简化的入职流程基于属性的访问控制允许对象或资源的所有者为新员工和第三方创建访问策略。用户只需要具备相应的属性，就可以访问关键资源。无需为了接纳新员工而大幅修改现有的规则。
• 隐私与安全合规性ABAC的核心目标就是保护机密数据。基于属性的控制机制为基于角色的权限增加了上下文因素。即使拥有正确的凭证，攻击者也很难访问数据或传输文件。
• 更强的合规性更好的数据安全性意味着更容易遵守数据保护法规。细致的控制措施能够保护个人身份信息——这是符合HIPAA规定的关键要求。金融公司可以严格控制对客户账户的访问权限——这也是符合PCI-DSS标准的好处之一。

基于属性的访问控制所面临的挑战

虽然基于属性的访问控制非常强大，但它也面临着一些挑战：

• 复杂的实施过程。管理员必须定义、分配并管理各种属性。这样的操作可能需要专门的专业知识以及大量的时间。
• 政策管理的难度。随着各种属性数量的增加，保持各项政策之间的清晰性和一致性就变得更为困难了。
• 整合方面的挑战。将ABAC系统与现有的IAM或HR数据库进行整合时，可能需要进行大量的配置工作。
• 性能影响。动态评估多个属性时，可能会影响到大规模环境中的系统性能。
• 测试与调整阶段。在部署之后，各组织通常会面临一个调整阶段，以优化属性规则并避免访问错误。

ABAC与RBAC的比较

ABAC技术基于角色-Based访问控制机制，与传统的授权模型在多个方面有所不同。下表列出了这两种访问管理方式的主要差异：

ABAC

RBAC

ABAC

• ABAC技术基于角色授权机制进行设计。它还引入了基于属性的访问控制机制。所有应用程序都可以设置诸如访问时间、位置以及角色等属性相关的限制。
• 管理员可以为每种资源做出明智的决策。为了应对各种新情况，对资源的控制方式可以迅速进行调整。
• 明确规定的政策能够清楚地说明对相关用户的特权待遇。这些政策的细节可以完全按照管理员的需求来设定。
• 安全管理人员可以修改相关属性，但无需重新编写相应的策略。
• ABAC允许在细粒度级别上进行自主访问控制。

RBAC

• 根据预定义的角色来授权用户使用权限。这些角色决定了用户对所有网络资源的访问权限。
• 智能决策的适用范围有限。
• 用户所获得的情報非常有限。授予访问权限的唯一标准就是角色。
• 当需要做出更改时，管理员必须重新配置相关角色。这一过程相当耗时。
• 这种访问方式通常比较灵活，可以覆盖整个网络。

这两种模型之间的基本区别在于：ABAC系统根据用户的特性来授予访问权限。而RBAC系统则根据用户的角色来授予访问权限。

这些角色是基于不同的工作类型和职位而设定的固定描述。例如，负责处理信用事务的人员可以有权在办公时间从经过验证的设备中查看客户数据。这些权限适用于组织内的所有负责处理信用事务的人员。

ABAC系统使用的是属性，而不是角色。这些属性包含了关于用户身份和角色的详细信息。不过，ABAC系统还有更精细的控制功能。管理员可以精确地控制用户与资源之间的交互方式。访问控制规则可以根据时间、地点、会话持续时间以及允许的操作来制定。

ABAC具有更强的适应性。 而且非常安全。安全团队可以针对敏感数据实施智能访问控制。他们能够……无需更改用户档案或角色，即可改变基于属性的控制方式。这样能够简化数据安全和合规性方面的流程。

哪种型号最适合您的企业呢？

基于属性的访问方式对于大型组织来说，这是一种更简单的解决方案。管理员无需为每一个角色都创建并重新配置相关策略。在初始实施阶段之后，他们可以根据需要随时对各项属性进行微调。

ABAC的安全特性也使其在保护敏感数据方面具有明显优势。RBAC机制容易受到凭证盗窃的攻击。攻击者可以通过窃取用户凭证来破坏系统的安全性。只要这些凭证符合系统所要求的角色要求，系统就会允许他们访问相关资源。