什么是基于策略的访问控制（Policy-Based Access Control, PBAC）？

在远程团队、分散的云资源以及员工频繁承担新职责的情况下，依靠人工方式来管理谁可以访问什么内容几乎是不可能的。这可能会拖慢操作效率，并且当权限没有得到及时更新或处理不当时，还会引发严重的安全问题。

因此，真正需要的是一种能够持续验证访问权限、并随着环境变化而自动调整的动态安全模型。这就是为什么越来越多的公司开始采用基于策略的访问控制方式。

基于策略的访问控制已定义。

基于策略的访问控制（Policy-Based Access Control，PBAC）是一种访问控制策略。结合了基于角色的访问权限与对象属性。对网络资源的访问是……通过既定的政策来加以记录和管控。.

PBAC根据业务角色来确定用户的权限，同时允许管理员通过细粒度的基于属性的控制方式来保护资源。因此，它是一种比纯基于角色的访问控制或基于属性的访问控制更为灵活的替代方案。

本文将介绍基于政策的访问系统。我们将学习以下内容：

• PBAC的工作原理以及实施策略。
• PBAC的益处以及其使用所面临的挑战。
• PBAC与其他访问策略相比如何？

基于策略的访问控制是如何工作的呢？

这个过程通常包含三个主要阶段：

• 访问请求已提交：用户或系统试图访问某个资源。
• 用户属性正在被分析中。该系统会评估与用户、资源、正在尝试执行的动作以及环境相关的各种属性。这些属性包括时间或地点等环境因素。系统会根据这些属性是否与现有政策中规定的规则相一致来进行判断。
• 已授予访问权限：如果某个资源的属性组合符合现有政策中规定的标准，那么系统就会允许该用户访问该资源。

PBAC的主要组成部分

基于策略的访问控制依赖于多个关键组件，以实现安全且智能的访问管理。第一个也是最基本的组件是……政策/规定这些规则决定了谁可以在何时、以何种条件访问哪些资源。接下来是……属性/特征这些信息提供了关于用户、所请求的资源以及整体环境的实际数据。

当发起访问请求时，政策决策点（Policy Decision Point, PDP）它充当了核心的逻辑处理单元。它会根据既定的政策，实时评估各种属性，从而决定是否允许访问、拒绝访问或限制访问权限。与之密切相关的是……政策执行点该机制会立即应用PDP的决策，从而相应地控制访问权限。

最后，还有……上下文相关的输入/信息例如，用户身份、设备信息、地理位置、IP地址、请求的时间，以及环境风险指标等。这些信息有助于指导整个处理流程，从而让PBAC能够根据具体情况动态地调整访问方式。

基于角色的配置文件和基于属性的策略

PBAC将两种不同的访问控制概念结合在一起：基于角色的权限与基于属性的策略。

基于角色的配置文件

网络用户拥有与其业务角色相关的个人资料。不同角色拥有不同的权限，可以访问、读取、修改和传输数据。

基于属性的策略

这些策略是以XACML格式进行编码的，但实际上它们都是以文本形式来表示的。属性则是指那些会影响用户访问权限的应用程序或数据相关的特征。配置文件可以是简单的，也可以更加复杂。管理员可以利用这些配置文件来根据身份、位置、时间等多种因素来控制用户的访问权限。

属性是PBAC的核心所在。基于策略的访问技术利用各种属性来决定对文档、数据库或应用程序的访问权限。这些属性的例子包括：

• 主题属性关于访问资源的用户的信息。这些信息可能包括用户的姓名、所属部门、职位，或者所参与的项目等。
• 对象属性关于该应用程序或文件的信息。这可能包括文件的类型、大小以及存储位置等信息。
• 动作属性关于特定主体可以执行的动作的详细信息。这些动作可能包括：读取、删除、写入、传输或复制等命令。
• 环境属性关于用户如何访问该资源的上下文信息。这可能包括访问的时间、地理位置，或者设备的类型等信息。

管理员可以…将这些属性在针对每个角色和资源的逻辑策略中有机地结合起来。在兜帽的遮盖下，各项政策遵循布尔逻辑来决定谁可以访问该资源。用户能够清楚地了解谁有权访问该资源，以及在什么条件下才允许访问。

基于策略的访问控制所带来的好处

基于策略的访问控制所带来的好处包括：

• 安全性得到提升管理访问权限的过程可以非常细致。通过精细化的控制方式，企业可以自定义数据安全策略。一小部分用户能够修改或删除那些具有较高价值的信息。不过，同样的数据也可以被更广泛的用户群体所查看。
• 简化合规性要求PBAC的灵活性有助于确保合规性。管理员可以根据HIPAA或PCI-DSS等法规来制定相关政策。他们可以保护特定的数据项和对象。管理员可以同时保护本地和云上的资产。
• 集中化管理安全团队可以集中管理各种策略，并将这些策略分配给所有用户和资源。中央策略数据库使得更改访问策略变得非常容易。此外，这种结构还使得对访问系统的审计工作也变得更加简单。
• 可扩展性随着用户群体的扩大，或者新的应用程序的涌现，灵活的访问策略也会迅速发生变化。企业可以在保持访问控制的同时，实现平稳的发展。

基于政策的访问控制所面临的挑战

与基于策略的访问控制相关的挑战包括：

• 政策的复杂性当PBAC应用于多个地点和IT系统时，情况可能会变得复杂。管理员必须确保每位用户都拥有正确的权限。这需要仔细的规划。
• 对变化的抵抗性改变政策可能会很困难。重大的政策变更会影响到大量员工的访问权限。因此，管理员通常选择采用变通方法，而不是进行有策略性的政策调整。
• 培训与意识提升员工需要了解当前生效的政策内容。如果政策表述不清，就会让用户感到困惑。这样一来，当员工试图获取访问权限时，可能会因为找不到合适的途径而引发安全问题。

如何实施PBAC？

要有效实施PBAC，就需要进行周密的规划，充分了解组织的需求，同时采用循序渐进的方法来处理安全问题与实用性之间的关系。

• 模型用户的角色以及应用程序的使用情况：确定组织中所有的角色以及他们所需的各种应用程序。了解用户如何与系统进行交互，有助于确保各项政策具有实用性，并且能够符合实际运营需求。
• 为每个角色定义相应的权限：根据“最小权限”原则来分配权限。只给予用户完成任务所需的访问权限，这样可以降低意外或未经授权访问敏感资源的风险。
• 添加细粒度的策略控制：需要制定详细的规则，比如时间限制、设备检查或活动限制等。这样的细化政策能够更精确地管理访问权限，同时又能确保整个组织的安全标准得到遵守，而不会过度限制合法的工作流程。
• 包含上下文属性：需要考虑诸如地理位置、设备类型以及网络安全性等因素。例如，对于远程员工来说，可能需要使用VPN或双因素认证来防止潜在的漏洞。
• 与员工互动：让用户参与到过程中来，了解政策如何影响到他们的日常工作，并识别他们面临的任何实际挑战。收集员工的反馈意见有助于完善访问规则，同时还能发现那些被忽视的工作流程需求。
• 逐步实施，并持续进行监控：应分阶段实施相关政策，首先从那些至关重要的系统和角色开始，然后逐步扩大政策的适用范围。同时，需要持续跟踪用户的访问模式，并适时调整政策，以确保这些政策能够有效应对各种新出现的威胁，同时避免让访问管理变得过于复杂。

PBAC的应用场景

PBAC在那些需要保护敏感数据的同时，又能实现灵活工作的组织中最为有效。

医疗保健行业就是一个很好的例子。PBAC系统允许医疗服务提供者将不同的诊所或部门分开管理。放射科的专业人员可以访问患者的影像资料，但该系统也可以拒绝让他们访问其他临床领域的记录信息。

医疗保健政策往往具有非常具体的规定。例如，访问控制政策可能会规定：医生可以在工作时间内访问患者的病历信息，但前提是这些信息必须与医生的专业领域相关。这样的规定有助于保护患者的隐私，同时符合HIPAA的相关要求。

银行或保险公司他们也可以在自己的安全模型中使用PBAC系统。例如，分支机构的工作人员可以访问与其所在分支机构相关的客户财务信息，但无法访问银行的其他客户数据库。

PBAC有助于金融机构遵守相关法规。同时，它也是一种有效的风险管理手段，能够降低数据泄露以及其他信息安全事件的风险。

PBAC和ABAC是一样的吗？

PBAC和基于属性的访问控制（ABAC）在控制访问方面有着非常相似的方法。这两种安全模型都是通过对象的属性以及用户的属性来规范访问行为的。它们都具备高度的灵活性，且易于使用。不过，两者之间有一个重要的区别。

• 基于策略的访问控制指的是对访问规则的描述。基于文本的政策.
• 基于属性的访问控制，指的是在访问控制中应用相应的控制措施。逻辑代码这些属性并没有以政策的形式来表述，因此对于网络用户来说，这些属性并不容易理解。

PBAC更容易被行政团队和部门经理们所了解。使用纯文本的方式，使得政策的分享以及访问权限的协商变得更加容易。此外，这种方式还便于对系统进行修改，同时也有助于员工们学会如何安全地使用访问系统。

PBAC与基于角色的访问控制（RBAC）的区别

基于策略的访问控制以及ABAC机制，都是角色基础访问控制方式的替代方案。

RBAC

为每个组织角色创建相应的政策。每个角色都有特定的访问权限。用户可以获取他们需要访问的资源。不过，一个设计良好的基于角色的访问控制系统会限制对其他网络资源的访问。

PBAC

它采用基于角色的配置文件。不过，它还将角色与基于上下文的属性控制相结合。RBAC方式只能施加较为广泛的限制，灵活性较低。而PBAC则允许管理员创建更精细的访问控制系统，甚至可以精确到单个文件级别。

基于策略的访问控制模型结合基于角色的控制和基于属性的控制的功能。这些纯文本形式的策略，规定了网络资源的访问权限。这些策略适用于特定的角色或授权用户。它们可以基于时间、地点以及用户的操作行为来实施更精细的控制措施。