多年以后,面对IAM后台,运维小李将会想起师父带他去见识权限管理的那个遥远的下午。当时,公司是个二十多个员工的小企业,一个个业务应用都有独立后台,管理简单,每个应用一个访问控制列表,列表里写明了员工的账号和权限,像图书馆的借书记录。 后来,公司的员工越来越多,业务应用越来越多。小李开始创建用户组,给员工分配角色,权限管理工作量越来越大。再后来,小李了解到有种权限管理模型叫ABAC,又开始研究如何给应用配置访问控制,工作量进一步攀升。小李有些迷茫,模型越来越先进,但权限管理却越来越复杂,到底怎么搞才能让权限管理又精细又准确、又便利又安全?
三大权限管理模型怎么选?
想弄清小李遇到的难题,先要厘清权限管理的目的。权限管理,是为了让用户可以访问而且只能访问自己被授权的资源,不能多也不能少。这个目的需要借助各种权限管理模型来实现。ACL(访问控制列表)是率先登场的权限管理模型。它的概念很简单,每一个需要被访问控制机制保护的资源对象(称为客体)都维持一个独立的关联映射表,其中记录了对该客体进行访问的实体(称为主体)被授予访问客体的权限,以及允许对客体执行哪些操作。当主体试图访问客体时,系统会检查映射表,确定是否允许访问。
以图书馆为例,ACL相当于在每本书上都附了一张借阅许可清单,列出了每一个有权限借书的人,以及他们可以借阅的时间。这种方式简单实用,却存在两大问题,一是每次访问时都必须检查客体的ACL,会耗费一定资源;二来大用户量、多业务应用的环境下,ACL的添加、删除和更改比较复杂,容易出现错误。RBAC(基于角色的访问控制)是比ACL更新的权限管理模型。它采用了可分配给主体具有特定权限集的预定义角色,访问权限由为个体分配角色的人提前定义,最终由客体属主在确定角色权限时明确。在处理访问请求时,系统会评估主体的角色以及角色对应的权限,生成访问控制策略。
还是以图书馆为例,RBAC相当于给每一个借书人分配了“学生”、“老师”、“某课题组成员”等不同的角色,“学生”可以借10本书,“老师”可以借20本书,“某课题组成员”可以借阅与课题有关的所有书籍。在企业内部,角色可以以级别、部门、项目等维度定义,一个员工可以有多个角色。相比ACL,RBAC能够借助中间件实现对多个系统和资源访问权限的集中管理,简化了权限管理流程,使得权限管理更规范、更便捷。 RBAC相比ACL更适应多用户、多应用、多资源的大型组织,但它的授权粒度只到角色组,难以对具体的个体实施细粒度的访问控制。为了弥补这个缺陷,ABAC模型(基于属性的访问控制)应运而生。与RBAC不同,其访问控制决策不再以单一的角色为依据,而是基于一组与请求者、环境和/或资源本身相关的特征或属性。在ABAC模型中,系统将权限直接分配给访问主体。当主体请求访问后,ABAC引擎通过检查与访问请求相关的各种属性值,基于预设的访问控制策略,确定允许或拒绝访问。
如果应用了ABAC,图书馆的借阅管理将更加精细、灵活,比如“老师”平时可以同时借20本书,寒暑假只能借10本,“学生”在假期不能借书,“某课题组成员”如果假期留校仍可无限量借书,离校则不能借书。在ABAC模型中,企业可以基于时间、地点、IP、设备、网络、操作系统、风险级别等属性制定不同的访问控制策略,实现细粒度的权限管理和动态访问控制,几乎能满足所有类型的需求,是真正的“高级货”。
芯盾时代IAM,三种模型按需选择
面对三种权限管理模型,很多企业会陷入选择困难症,因为每一种模型都有各自的优缺点,都难以解决企业所有的权限管理问题。对此,芯盾时代的IAM产品经理表示,小孩子才做选择题,成年人当然全都要。芯盾时代用户身份与访问管理平台(IAM)把三种授权模型全部安排上,企业可以基于自身人员规模、业务规模,资源的重要程度、访问场景匹配适合的权限管理模型:
1.针对只对特殊用户开放的特殊资源,采用ACL模型管理访问权限,人工管理访问权限,权限具体到人,实现对特殊应用、特殊用户的精准权限管理; 2.针对重要程度一般、访问场景简单、访问人数多的资源,采用RBAC模型,以角色区分访问权限,实现应用的自动化授权,简化权限管理工作的同时保证安全性; 3.针对重要程度高、访问场景复杂的资源,采用ABAC模型,全面、精准的定义、维护各种属性,灵活的设置访问控制策略,进行细粒度的访问权限管理和动态访问控制,在提升资源安全性的同时保证访问的便利性。
借助芯盾时代IAM,企业能够一站式的建立完善的权限管理体系,分类、分级管理资源访问的权限管理,并通过用户自动授权、自助申请权限简化权限管理流程,形成完整的自动化授权与账号管理体系,实现业务应用的统一权限管理。 统一的权限管理只是芯盾时代IAM四大核心功能之一,它与其它三大功能一起,为企业构建规范的统一身份管理平台:
1.统一身份管理:芯盾时代IAM能够整合企业零散的组织用户数据,为用户生成唯一可信的数字身份标识,实现用户用户、权限、应用账号自动化流转机制,建立身份安全基线,为各种权限管理模型的实现提供可信的身份信息;2.统一身份认证:芯盾时代IAM依托移动安全核心技术,将认证能力拓展到设备层面,提供应用统一门户、单点登录、免密认证能力,支持传统认证、移动认证、社交认证、生物认证、证书认证等技术,在ABAC授权模式下提供多种二次认证方式,保证访问控制策略的有效性和便捷性;3.统一审计管理:芯盾时代IAM利用零信任模型、流式计算技术、规则引擎技术,实现对管理员操作行为、用户登录认证行为、用户应用访问行为的风险审计与动态访问控制功能。 有了芯盾时代IAM,老板再也不用担心公司的访问权限管理,企业业务更加安全、员工操作更加便利、运维工作更加简单。
审核编辑 :李倩
全部0条评论
快来发表一下你的评论吧 !