当你理解了ABAC,才算真正理解了零信任!

admin
admin
admin
145127
文章
119
评论
2024年8月2日07:41:06评论121 views字数 2129阅读7分5秒阅读模式

如果加星标,可以及时收到推送

《安全到底》栏目第187篇,锐安全总第257篇原创,

本文1307字,阅读时长4分钟

当你理解了ABAC,才算真正理解了零信任!

咱们先放下周末的行业八卦,回归到每周四的《安全到底》时刻,毕竟八卦只能给行业增加色彩,技术才是行业发展的底层驱动力。
我们可能没有意识到,虽然零信任被称为身份安全,但是访问控制才是零信任的灵魂,而今天要讲的ABAC,就是访问控制的灵魂。

零信任体系架构图本质上是零信任的概念拼图,今天更新了“零信任模式”的内容。

当你理解了ABAC,才算真正理解了零信任!

图:零信任体系架构图V1.3

我把零信任模式的核心要素修改为:网络访问模式、访问控制策略和访问控制组件。

“网络访问模式”就是上篇《用这两个面来描述零信任,沟通效果翻倍!》讲的两大平面,今天主要讲“访问控制策略”这个核心要素。

了解零信任的都知道,零信任又被称为“身份与访问控制(Identity and Access control)”,那为什么被称为身份与访问控制呢?

这就要讲到“访问控制(Access control)”和“访问控制策略(Access control policy)”这两个概念了。

先说访问控制,访问控制是信息选择性共享的一种技术思路,用以降低信息共享的风险和审计的成本。比如操作系统用访问控制来保护文件和目录;数据库管理系统(DBMS,Database management systems)用访问控制来规范对表(tables)和视图(views)的访问。

访问控制策略(Access control policy

访问控制策略(Access control policy)是个大概念,其中包括“自主访问控制策略(DAC,Discretionary access control policy)”和“非自主访问控制策略(NDAC,Non-discretionary access control policy)”两大类。

自主访问控制策略(DAC)本质上是“基于身份的访问控制(IBAC,Identity-based access control) ”,常用于民用环境;非自主访问控制(NDAC)本质上是“基于规则的访问控制(RuBAC,Rule-based access controls)”,常用于军用环境。

自主访问控制策略(DAC)就是我们经常见到的操作系统里对文件、硬盘等资源的访问模式。比如当你拥有管理员权限,你就可以访问一切文件,且这种权限还能传递和继承。

非自主访问控制策略(NDAC)又叫“强制访问控制(MAC, Mandatory access control)”,是一种由中央机构制定的绝对权限,这种权限一旦制定,所有者不能更改。比如军事领域里的密级标签,一旦打上相应密级标签,则不能修改。

IBAC、ACL与RBAC

IBAC、ACL和RBAC都属于自主访问控制(DAC)。

基于身份的访问控制(IBAC)是用户(User)的概念,使用的技术手段就是访问控制列表(ACL, Access control list)。

访问控制列表(ACL)本质上是“面向资源的访问控制(Resource-oriented access controls)”,可以实现基于用户的设备级、端口级访问控制。

基于角色的访问控制(RBAC)是把用户又分成不同角色,比如医院里的医生、护士、出纳、研究员、经理等,访问权限按角色分组。根据需要只需更新角色的权限,而无需逐一更新每个用户的权限。

例如,在医院系统内,医生的角色可以包括进行诊断、开药和安排实验室检查;研究员的作用可能仅限于为研究收集匿名临床信息。

基于角色的访问控制(RBAC)使企业访问控制功能的集中管理成为可能,并减少了对ACL的需求。

基于属性的访问控制(ABAC)

基于属性的访问控制(ABAC,Attribute based access control),是基于主体(subject)、对象(object)和环境属性(environment attributes),并且同时支持自主访问控制(DAC)和强制访问控制(MAC)的全新访问控制模式,是访问控制理论里最高级的发展形态。

我们先看看传统的非ABAC的访问控制方法的示意图:

当你理解了ABAC,才算真正理解了零信任!

图:传统的非ABAC的跨组织访问方法

我们再看看基本的ABAC场景:

当你理解了ABAC,才算真正理解了零信任!

图:基本的ABAC场景

所以,你能看到,零信任访问控制模式的核心就是ABAC,而基于属性的访问控制(ABAC)本质上就是细粒度的访问控制,这就是为什么零信任又被称为动态的细粒度访问控制的原因。

恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质!这里是锐安全,今天就到这里,咱们下周四再见!

当你理解了ABAC,才算真正理解了零信任!

点击文末【阅读原文】,看到一个完整的安全系统

end

您的安全架构航海之旅到了这里:

当你理解了ABAC,才算真正理解了零信任!

当你理解了ABAC,才算真正理解了零信任!
当你理解了ABAC,才算真正理解了零信任!

如果你对本文有任何建议,

欢迎联系我改进;

如果本文对你有任何帮助,

欢迎分享、点赞和在看

如果心生欢喜,不如做个长期朋友:)

参考资料:

[1]NIST.nistir7316-Assessment of Access Control Systems,2006-09

[2]Role-Based Access Controls,1992

[3]NIST.NIST-SP800-162-Guide to ABAC, 2014-01

题图:互联网

原文始发于微信公众号(锐安全):当你理解了ABAC,才算真正理解了零信任!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月2日07:41:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   当你理解了ABAC,才算真正理解了零信任!http://cn-sec.com/archives/3024414.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息