什么是基于角色的访问控制（RBAC）？

基于角色的访问控制（RBAC）是一种用于管理权限的安全模型。那些能够访问您公司关键资源的人。它的运作原理非常简单且有效：用户的访问权限取决于该员工的职位。这一职位与员工的资历、职责以及岗位描述息息相关，从而决定了用户的特权。

那么，这在实践中意味着什么呢？RBAC使得员工只能访问与他们的工作相关的资源而已。限制它们与其它敏感数据的关联这种方法能够保护数据，同时减轻管理员的工作负担。本文探讨了RBAC的各种类型、其运作方式以及它的优缺点。

基于角色的访问控制（RBAC）定义

基于角色的访问（RBAC）是指…一种访问控制模型，它为员工提供相应的权限。只能访问那些与他们的角色相关的关键资源和系统。在RBAC系统中，每个网络用户都拥有一定的角色，这些角色决定了用户的权限。这些角色与用户的资历、职责以及职位描述密切相关。

这种访问权限可以是永久性的，只要员工继续担任其职务，就可以持续拥有该权限。或者，也可以为特定项目临时授予该权限。例如，如果某人参与了一个短期项目，RBAC可以仅在该期间为其授予所需的访问权限，而不会影响到系统的安全性。

归根结底，RBAC确保了员工能够拥有相应的权限。能够获取与其职责相关的必要资源。同时，其他数据或应用程序仍然受到限制。这种方法有两个主要优点：首先，它可以通过拒绝未经用户许可的访问来保护敏感数据。其次，它还能……减轻了管理员的工作负担。那些不需要管理个人访问权限的人。

基于角色的访问控制类型

什么是RBAC？它是如何工作的呢？首先，基于角色的访问控制有多种形式。

最简单的版本采用基于角色的配置文件。不过，访问技术则可能更为复杂，高级的解决方案包括权限审计以及职责分离等功能。

并没有一种适用于所有情况的实施方式。各组织需要找到符合自身需求的实施形式。以下是用户可以考虑的几种RBAC实现方式：

核心RBAC机制

基于角色的访问控制是最基础的一种RBAC形式。在基于角色的访问控制中，访问系统必须包含三种“核心”技术。这些技术使得组织能够在其网络范围内实施基于角色的简单控制机制。

• 配置文件管理。基于角色的配置文件会为每个角色设定相应的权限。这些权限确保用户只能访问他们需要的资源。
• 角色授权当用户进入该组织时，他们必须被分配正确的角色。RBAC系统必须为每个用户在其角色范围内授予相应的权限，从而确保每个用户的访问请求都能得到适当的处理。
• 权限授权。核心的RBAC机制根据用户的角色来授权相应的权限。授权的方式可以是简单的，也可以非常细致地划分权限，具体取决于组织的需求。

分层RBAC

RBAC的第二种主要形式为基于角色的访问控制系统，它为这种访问控制方式增添了更多的灵活性。通过这种访问控制方式，管理员可以更加灵活地管理权限设置。创建角色层次结构在他们的组织内部。

角色层级结构定义了不同用户之间的关系。处于金字塔顶端的用户拥有最广泛的权限，而随着用户的级别降低，其权限也会逐渐受到限制。

例如，财务负责人可以访问所有的财务记录。然而，各个员工对他们所管理的账户的使用权限则有限。

受限的RBAC机制

这种基于角色的访问控制方式，可以带来以下好处：职责分离这属于访问管理策略的一部分。职责分离是一种原则，它有助于限制用户执行重要操作的权力。例如，医生在转移患者资料之前，可能需要得到合规部门的批准。

受限的RBAC机制能够防止由单个用户发起的网络攻击。这样可以降低人为错误的风险，同时解决可能导致安全问题的利益冲突问题。

对称式RBAC

这种RBAC形式为基于角色的访问控制增加了另一个重要特性：许可角色的审核。对称访问控制允许在员工离开组织或更换职位时重新分配权限。

对现有权限进行审计，可以有效提升RBAC系统的安全性。虽然离职的员工会失去其权限，但那些在不同职位之间调动的员工仍然可能获得过多的权限。定期评估权限范围，有助于解决这些问题。

RBAC是如何工作的呢？

RBAC的工作原理是将用户的角色与网络权限进行匹配。根据美国国家标准与技术研究院（NIST）提供的标准，RBAC基于以下三条规则来实施其功能：

• 分配角色：首先，管理员会为某个用户分配一个或多个角色。当用户成为某个特定角色或组的活跃成员时，该用户就会自动获得与该角色或组相关的所有访问权限。
• 授权角色：每个用户都需要获得与其所担任的特定角色或角色相关的授权。
• 授权许可：一旦用户获得了担任某个角色的权限，他们就会获得与该角色相关的权限或特权。这样，该角色就只有必要的访问权限，从而遵循了“最小权限原则”。

当用户连接到网络资源时，RBAC系统会决定是否授予其访问权限。如果用户拥有相应的角色权限，那么他们就可以使用这些资源。如果没有，那么系统就会拒绝其访问请求。

用户访问权限可以永久性地设置，或者管理员也可以临时提升用户的权限。

RBAC的替代方案

基于角色的访问方式通常无法单独使用。其他访问技术可以补充RBAC机制，从而让安全系统更加强大。

基于属性的访问控制

仅使用基于角色的访问控制方式，要实施细粒度的访问控制是非常困难的。而基于属性的访问控制则可以为这个问题提供解决方案。

ABAC系统根据对象或用户的属性来管理访问权限。这样就能对关键数据库或应用程序进行精细化的控制。例如，金融公司可以允许员工在办公时间访问持卡人的数据，同时限制其与受许可设备的连接。

RBAC与ABAC并不一定是互斥的选择。基于属性的访问控制可以作为基于角色的系统的有效补充。

2. 访问控制列表（ACLs）

ACLs是附加在网络对象或设备上的、包含授权用户信息的列表访问控制列表中的用户可以访问相关的资源。如果没有被允许访问，那么他们就无法访问这些资源。

管理员可以为特定的路由器、交换机、VPN或数据库配置ACL。这些机制能够高效运作，从而提供基本的访问控制功能。

组织们很少使用ACL来管理访问权限。在多个网络环境中维护大量的控制列表可能会带来问题。不过，在某些情况下，ACL确实能增加安全性。如果愿意的话，还可以利用角色组来进一步增强安全性。

管理员可以使用ACL来使RBAC更加精确。例如，可以让某个开发团队的成员能够访问特定的代码库。ACL可以排除所有具有DevOps角色的用户，但允许这些团队成员访问相关资源。

基于角色的访问控制的优势

RBAC并非实现网络安全的万能方案。不过，利用角色来管理访问权限是一种很有创新性的方法，原因有很多。

安全性

通过RBAC机制，用户只能访问与其职业角色相关的资源。这样可以避免不必要的访问权限被授予用户的情况发生。这减少了恶意攻击者窃取凭据或发起网络钓鱼攻击的可能性。因此，攻击者获取机密数据的难度将会增加。RBAC还实现了职责分离，从而降低了用户权限过强所带来的风险。

效率

RBAC减少了维护网络访问控制所需的工作量。管理员可以将新员工分配到相应的角色组中，这样，员工就可以获得与这些角色相关的权限。无需为每个用户或对象创建单独的配置文件，并管理其权限设置。

可扩展性

角色可以发生变化，组织也会不断演变。RBAC系统使得管理员能够轻松地管理这些变化。修改基于角色的权限设置，并全局应用这些更改。这些更改可以自动应用到网络中的各种资产上，从而降低安全漏洞的风险。

合规性

基于角色的访问控制(RBAC)有助于各组织遵守相关法规。 各种规定/条例，例如：HIPAA规定，医疗公司通常会通过为不同的临床部门创建相应的角色来限制对患者记录的访问。RBAC机制还使得对访问请求和用户行为的审计变得更加容易。

基于角色的访问控制存在的缺点

许多组织未能意识到基于角色的访问控制所带来的好处。这是因为，RBAC的实施可能会面临一些挑战，而且它并不总是最合适的解决方案。基于角色的访问控制存在的一些重要局限性包括：

定义角色/职责

那么，什么是角色呢？个体用户是否能够自然地归属于那些具有相似权限的群组呢？有时候，确实如此。不过，企业环境其实非常复杂，因此角色与用户所需的权限并不总是相匹配。安全团队在创建有意义的角色群组时可能会遇到困难，这就会导致性能下降以及用户体验不佳。如果没有明确的角色定义，用户就有可能获得他们不应该拥有的访问权限，这无疑会带来巨大的安全风险。

刚性

如果角色保持不变的话，RBAC机制仍然可以很好地进行扩展。不过，这种控制方式可能会变得不够灵活。随着组织的不断发展，以及新应用程序和设备的加入，角色也会发生变化。各个小组可能会有所延迟。这导致了严重的問題。

复杂性

基于角色的访问控制旨在简化网络访问系统。不过，在规模较大的组织中，这种机制仍然存在一些挑战。RBAC可能会导致更多的复杂性。管理员可以增加更多的角色来处理用户的投诉。当用户的位置发生变化或加入新的项目时，他们可能会拥有多个角色。这种情况就被称为“角色爆炸”。这样一来，管理访问权限的工作就会变得混乱不堪，从而影响到网络的安全性。

基于角色的访问控制（RBAC）记录类型

基于角色的访问控制（RBAC）定义了用户如何访问各种资源。该模型使用不同的记录类型来管理和执行访问规则，从而确保系统的安全性和合规性。

以下是主要的RBAC记录类型。

• 访问组它定义了某个用户组的应用程序、默认门户以及分配给该用户的访问权限。每个用户至少属于一个访问组，而各个访问组的权限则决定了用户的操作权限。
• 角色/职责它保存了与某个角色相关的所有访问记录。访问角色的名称可以汇总各种权限信息，但并不直接用于配置访问控制机制。
• 拒绝访问在特定条件下，明确禁止访问该资源。如果同一角色和类别同时满足这些条件，那么就会覆盖由 ARO 所授予的任何权限。
• 对象对角色的访问权限（ARO）它构成了RBAC的核心部分。它定义了某个角色可以在某个类的实例上执行的动作，并且将这些动作与特定的角色和类组合相关联。
• 课程/班级它代表了其他类或实例可以访问的对象集合。该类决定了用户是否能够打开、修改、保存、删除这些对象，或者获取有关这些对象的信息。
• 特权/特殊待遇它将一个访问角色与某个受保护的规则关联起来。它充当一种“令牌”的角色，只有具有特定权限的用户才能执行与该规则相关的操作。
• 规则/准则它是定义应用程序行为的基石。权限机制可以限制对特定规则功能的访问，从而确保只有经过授权的用户才能与这些功能进行交互。

需要特权才能遵守的规则包括：活动、附件类别、通信内容、数据页面、流程、流程操作、结构化规则的解析，以及报告的定义。这些规则用于控制应用程序内各种功能的访问权限。

基于角色的访问控制示例

企业和公共组织广泛采用RBAC机制。当组织的职位和层级结构明确时，RBAC机制的效果最佳。在职责和成员关系相对稳定的环境中，RBAC机制表现得相当不错；但在那些环境变化频繁、动态性较强的环境中，RBAC机制则难以发挥作用。

让我们来探讨一些实际应用场景，以帮助您了解RBAC在实际中的运作方式。

管理保险或金融销售部门

在银行和保险行业，销售人员需要能够访问客户信息，以便建立客户关系并销售产品。不过，员工也应该有权访问同事的信息。