基于属性的访问控制(ABAC)定义与思考 ——企业ABAC的实施问题
本文整理了《Guide to Attribute Based Access Control (ABAC) Definition and Considerations》一文核心思想和觀點(diǎn)的第二部分《企業(yè)ABAC的實(shí)施問題》,第一部分詳見《ABAC的基本概念》,如需完整版下載請點(diǎn)擊文末閱讀原文。
關(guān)鍵詞:訪問控制;訪問控制機(jī)制;訪問控制模型;訪問控制策略;基于屬性的訪問控制(ABAC);授權(quán);權(quán)限。
?第二部分?
企業(yè)ABAC的實(shí)施問題?
在跨企業(yè)部署ABAC系統(tǒng)之前,必須考慮許多因素。在充分考慮目前技術(shù)狀況和總結(jié)聯(lián)邦政府內(nèi)部多次嘗試在大型企業(yè)中部署ABAC的經(jīng)驗(yàn)教訓(xùn)的基礎(chǔ)上,整理了一些指導(dǎo)原則供讀者借鑒。這些建議按照圖6所示的NIST系統(tǒng)開發(fā)生命周期(SDLC)的各個(gè)階段分別給出。有關(guān)SDLC的更多信息,請參閱[NIST800-100]。企業(yè)ABAC部署主要考慮前四個(gè)階段:啟動(dòng)、獲取/開發(fā)、實(shí)施/評估和操作/維護(hù)。本節(jié)專門關(guān)注這些階段。
圖6 ACM NIST系統(tǒng)開發(fā)生命周期(SDLC)
企業(yè)ABAC的開發(fā)和部署需要考慮許多影響其設(shè)計(jì)、安全性和互操作性的因素。這些因素導(dǎo)致了一系列應(yīng)該考慮的問題:
?? ABAC實(shí)施的項(xiàng)目論證。開發(fā)/獲取新功能和從舊功能過渡的成本是多少?ABAC提供了哪些重要的好處?ABAC引入了哪些新的風(fēng)險(xiǎn)(如果有的話),需要哪些新的管理結(jié)構(gòu)來管理共享的功能和策略文檔?這些策略以前都是由人工介入的決策。哪些數(shù)據(jù)集、系統(tǒng)、應(yīng)用程序和網(wǎng)絡(luò)需要ABAC功能?數(shù)據(jù)丟失或誤用如何管理?
?? 了解運(yùn)營需求和整個(gè)企業(yè)架構(gòu)。如何管理、監(jiān)視和驗(yàn)證權(quán)限以實(shí)現(xiàn)合規(guī)?企業(yè)將公開哪些接口和客體用于信息共享?將使用什么ACM?如何共享和管理主體和客體屬性?訪問控制規(guī)則是什么?它們是如何抽取、評估和執(zhí)行的?企業(yè)內(nèi)部如何管理信任?
?? 建立或完善業(yè)務(wù)流程以支持ABAC。訪問規(guī)則和策略是否被充分理解和記錄?如何識(shí)別和分配所需的屬性?如何以層次化方式應(yīng)用多個(gè)策略并消除沖突?如何處理訪問失敗?新策略由誰創(chuàng)建?如何共享和管理公共策略?
?? 開發(fā)和獲取一套可互操作的能力。互操作性如何實(shí)現(xiàn)?如何將身份管理中的主體屬性集成到ABAC中?如何處理不同或特殊的身份需求?如何跨企業(yè)實(shí)體共享和維護(hù)主體屬性?身份驗(yàn)證、授權(quán)、屬性管理、決策或強(qiáng)制執(zhí)行能力的集中化實(shí)現(xiàn)和分布式部署的利弊是什么?如何在策略決策中使用環(huán)境條件?在策略決策中,信任在安全、質(zhì)量、準(zhǔn)確等層面是如何量化、傳遞和使用的?如何在組織之間映射主體屬性?如何制定策略以整合最新的可用主體、客體和環(huán)境條件屬性集?
?? 性能評估。如何為未連接、帶寬受限或資源受限的用戶管理主體屬性?企業(yè)新成員的接口規(guī)范如何可用?屬性和策略更改的質(zhì)量和及時(shí)性如何衡量和實(shí)現(xiàn)?整個(gè)系統(tǒng)和端到端性能是否足夠?
以下各節(jié)將更詳細(xì)地討論這些原則和問題。
壹
啟動(dòng)階段的考慮
在啟動(dòng)階段,企業(yè)評估ABAC系統(tǒng)的需求及其潛在用途,確定ABAC系統(tǒng)是一個(gè)獨(dú)立的信息系統(tǒng),還是已有系統(tǒng)的一個(gè)組件。一旦這些任務(wù)完成并確定ABAC的能力需求,在ABAC系統(tǒng)獲得批準(zhǔn)之前,還需要一些工作,包括明確定義目標(biāo)和高級需求。在這個(gè)階段,企業(yè)需要定義ABAC系統(tǒng)的高級業(yè)務(wù)、操作需求以及企業(yè)架構(gòu)。
1
ABAC項(xiàng)目的論證
與任何主要系統(tǒng)的部署一樣,在部署企業(yè)ABAC之前,應(yīng)進(jìn)行重要的需求評估、商業(yè)研究和規(guī)劃活動(dòng),以確定在給定目標(biāo)環(huán)境下,ABAC是否是正確的訪問控制方式。ABAC的優(yōu)點(diǎn)是可以在事先不知道或不了解主體的情況下提供訪問控制能力,并對有限的一組任務(wù)或業(yè)務(wù)關(guān)鍵目標(biāo)提供大規(guī)模的企業(yè)信息共享。
在生成任何技術(shù)需求或做出部署決策之前,評估和論證ABAC項(xiàng)目以及定義該項(xiàng)目的企業(yè)目標(biāo)非常重要。實(shí)施企業(yè)ABAC會(huì)帶來巨大的開發(fā)、實(shí)現(xiàn)和操作成本,企業(yè)客體的共享和保護(hù)方式也會(huì)發(fā)生改變。來自其他組織的案例研究或經(jīng)驗(yàn)報(bào)告可能有助于規(guī)劃ABAC的部署。對于有限的一組客體,采用增量方法逐步實(shí)現(xiàn)ABAC保護(hù)可能更為實(shí)際。這一實(shí)施方式將在最大程度上建立和利用適合于整個(gè)企業(yè)的策略和屬性。逐步構(gòu)建ABAC功能所帶來的反饋能夠完善策略和屬性定義,并行使必要的治理和配置管理功能,以支持整個(gè)企業(yè)更廣泛地使用ABAC。應(yīng)當(dāng)指出,如果不解決以下各小節(jié)中提出的問題,企業(yè)在部署ABAC時(shí)可能會(huì)遭受重大延誤并產(chǎn)生額外費(fèi)用。
2
可擴(kuò)展性、可行性和性能要求
在考慮ABAC產(chǎn)品或技術(shù)的部署時(shí),可擴(kuò)展性、可行性和性能是需要考慮的重要問題。企業(yè)ABAC(允許一個(gè)組織訪問同一企業(yè)中由另一個(gè)組織管理的客體)需要ABAC組件之間的復(fù)雜交互。通常,這些組件跨組織邊界分布在整個(gè)企業(yè)中,有時(shí)分布在不同的網(wǎng)絡(luò)上。企業(yè)越大、組織機(jī)構(gòu)越多樣化,這些交互就越復(fù)雜。以往通過一個(gè)簡單的請求就可以訪問文件庫里的文檔,現(xiàn)在變成了,從企業(yè)策略庫拉取策略、從物理/邏輯上分散的多個(gè)屬性源拉取不同的屬性、通過第三方驗(yàn)證與該文檔相關(guān)的客體屬性的完整性、在企業(yè)的某個(gè)IT設(shè)施上生成策略決策,最后又在另一個(gè)IT設(shè)施上執(zhí)行該策略決策。可行性評估應(yīng)該檢查業(yè)務(wù)應(yīng)用是否支持ABAC,無論它是原生地支持,還是通過第三方來實(shí)現(xiàn)支持。所有這些潛在的交互都存在性能成本,在確定通過企業(yè)ABAC實(shí)現(xiàn)共享的客體范圍時(shí),必須對這些成本進(jìn)行評估。為了減輕潛在的性能和可擴(kuò)展性問題,應(yīng)該考慮各種體系結(jié)構(gòu)。ABAC組件的部署分布應(yīng)該考慮到底層企業(yè)架構(gòu),以及要共享的數(shù)據(jù)和客體的位置。例如,PDP和PEP可部署在同一個(gè)管理單元下。
2.1
開發(fā)維護(hù)費(fèi)用
雖然ABAC在跨企業(yè)部署時(shí)提供了許多重要的新功能,但從長遠(yuǎn)來看,ABAC的開發(fā)、部署和維護(hù)成本可能會(huì)超過它的價(jià)值。此外,為了使用ABAC而對應(yīng)用程序進(jìn)行改造的成本與采購、設(shè)置和維護(hù)授權(quán)基礎(chǔ)設(shè)施(指ABAC系統(tǒng))是完全分開。雖然可以通過放棄當(dāng)前的解決方案來節(jié)約一些維護(hù)成本,但這些節(jié)余的部分很快就會(huì)被ABAC的主體屬性和策略的管理和維護(hù)成本,以及對新系統(tǒng)的支持成本抵消掉。為了確定風(fēng)險(xiǎn)成本和安全成本之間的平衡點(diǎn),ABAC這種更精確、一致和靈活的安全特性必須被仔細(xì)地評估并量化。綜合考慮到這些因素,ABAC并不是解決所有訪問控制問題的通用方案,但可證明的是,在主體和客體具有各種不同屬性的環(huán)境中,如果訪問決策涉及這些屬性之間的復(fù)雜關(guān)系,那么ABAC就是一種可行的解決方案。
2.2
向ABAC遷移的成本
伴隨著遷移到ABAC,管理和業(yè)務(wù)流程面臨重大的轉(zhuǎn)變,即客體由企業(yè)制定的策略和企業(yè)控制的屬性(有時(shí)還包括本地控制)控制。這些客體現(xiàn)在可能需要與一組其他的特性相關(guān)聯(lián),而這些特性可能并未在訪問控制中使用過。習(xí)慣于登錄網(wǎng)絡(luò)后隨意訪問資源的用戶可能不會(huì)再擁有便利。雖然策略制定者將盡其所能制定出反映當(dāng)前的任務(wù)和業(yè)務(wù)需求的策略,但在訪問那些關(guān)鍵任務(wù)或業(yè)務(wù)功能時(shí),總會(huì)出現(xiàn)一些意料之外的拒絕訪問。
隨著ABAC產(chǎn)品的部署實(shí)現(xiàn)和企業(yè)訪問控制的變化,新的流程和功能需要集成到用戶的日常業(yè)務(wù)流程和企業(yè)策略中。在遷移過程中,重要的是確保用戶理解為什么要改變這些訪問控制,以及這些更改會(huì)對業(yè)務(wù)的完成產(chǎn)生什么影響。這些用戶需要在新的ABAC系統(tǒng)和過程中接受培訓(xùn)。部署ABAC所帶來的這些變化需要適當(dāng)?shù)貍鬟_(dá)給用戶,以便展示其價(jià)值,包括更好的用戶體驗(yàn)、增強(qiáng)的安全性和對關(guān)鍵信息的保護(hù)、新的ABAC系統(tǒng)的要求以及將逐步淘汰的傳統(tǒng)訪問控制系統(tǒng)。用戶也可能對現(xiàn)有業(yè)務(wù)流程比較滿意,不能立刻看到部署ABAC所帶來的價(jià)值,那就需要重點(diǎn)強(qiáng)調(diào)ABAC在增強(qiáng)企業(yè)安全態(tài)勢方面與現(xiàn)有的訪問控制機(jī)制之間的差別。
2.3
權(quán)限審查和授權(quán)監(jiān)控的需求
有的企業(yè)可能希望對主體及其權(quán)限能力進(jìn)行審查,包括對與客體關(guān)聯(lián)的訪問控制條目的審查。簡單地說,在發(fā)出請求之前,需要知道每個(gè)人有哪些訪問權(quán)限,有時(shí)被稱為“事前審計(jì)”,通常在證明“合規(guī)性”(符合特定的法規(guī)或指令)的時(shí)候,是非常必要的。另一個(gè)常見的審查目的是確定誰有權(quán)訪問特定客體或特定資源集。ABAC系統(tǒng)可能不適合有效地進(jìn)行這些審計(jì)。相反,ABAC的一個(gè)關(guān)鍵特性是客體屬主能夠在事先不知道主體的情況下保護(hù)和共享客體。對能夠訪問給定客體的主體集的計(jì)算需要大量的數(shù)據(jù)檢索和運(yùn)算量,這可能需要每個(gè)客體屬主通過模擬企業(yè)中每個(gè)已知主體的訪問請求來計(jì)算。限制ABAC實(shí)現(xiàn)的范圍有助于預(yù)先確定訪問授權(quán),但如果企業(yè)需要此類驗(yàn)證,則應(yīng)研究驗(yàn)證授權(quán)有效性的其他方法。
2.4
理解客體保護(hù)要求
企業(yè)的不同位置存在大量不同的操作和客體類型,需要對其強(qiáng)制執(zhí)行AC策略,包括操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)服務(wù)和數(shù)據(jù)庫管理系統(tǒng)。盡管可能存在一些NLP來輔助訪問授權(quán),但大多數(shù)客體的訪問控制是通過由本地業(yè)務(wù)規(guī)則管理的本地組策略實(shí)現(xiàn)的,或者取決于一些未記錄的評估因素和非標(biāo)準(zhǔn)的潛規(guī)則。實(shí)現(xiàn)ABAC首先需要對客體及其保護(hù)要求有一個(gè)透徹的理解,否則開發(fā)和實(shí)現(xiàn)企業(yè)ABAC的成本將急劇增加。建議首先將企業(yè)ABAC部署應(yīng)用于具有良好定義、控制,以及文檔記錄的客體。
2.5
企業(yè)治理與控制
成功的企業(yè)ABAC需要協(xié)調(diào)和確定一些業(yè)務(wù)流程和技術(shù)因素,也要建立企業(yè)的職責(zé)和主管。如果沒有適當(dāng)?shù)闹卫砟P?#xff0c;企業(yè)將開發(fā)出煙囪式解決方案,企業(yè)的互操作性將大大降低。建議組建一個(gè)企業(yè)治理機(jī)構(gòu)來管理所有身份、憑證和訪問管理功能的部署和操作,并建議每個(gè)下屬組織建立一個(gè)類似的機(jī)構(gòu),以確保ABAC部署實(shí)現(xiàn)過程中的管理一致性。此外,建議治理機(jī)構(gòu)開發(fā)一個(gè)“信任模型”,用于描述信任鏈,并幫助確定信息和服務(wù)的所有權(quán)和責(zé)任,確定對附加策略和治理的具體需求,以及確定驗(yàn)證或?qū)嵤┬湃侮P(guān)系的技術(shù)方案。信任模型也有助于組織明確,如何使用和保護(hù)他們共享信息,以及怎樣信任來自其他組織的共享信息。
此外,企業(yè)授權(quán)服務(wù)應(yīng)與安全審計(jì)、數(shù)據(jù)丟失預(yù)防、安全配置管理、持續(xù)監(jiān)控和網(wǎng)絡(luò)防御能力緊密集成。授權(quán)服務(wù)本身不足以保障網(wǎng)絡(luò)上關(guān)鍵任務(wù)客體所需的安全性,應(yīng)充分理解企業(yè)安全需求以及ABAC實(shí)施將帶來的影響。例如,當(dāng)使用分布式ACM架構(gòu)時(shí),訪問控制決策和事件的審計(jì)能力可能會(huì)受到影響。
ABAC系統(tǒng)可以受益于企業(yè)環(huán)境中部署的信任框架。通過對使用ACL的傳統(tǒng)信任鏈和使用ABAC的信任鏈比較(圖7和圖8)可知,要使ABAC正常工作,需要有許多更復(fù)雜的信任關(guān)系。ACL由客體屬主或管理員建立,通過將用戶添加到ACL來設(shè)置對客體的訪問,實(shí)現(xiàn)客體訪問規(guī)則的執(zhí)行。在ABAC中,信任的根來源于不同的起點(diǎn),例如主體屬性的主管部門或策略管理員。
圖7 ACL信任鏈
圖8 ABAC信任鏈
在管理信息共享的固有風(fēng)險(xiǎn)、部署企業(yè)ABAC解決方案時(shí),必須從兩個(gè)角度考慮風(fēng)險(xiǎn)。首先,ABAC解決方案可以被視為諸多保護(hù)企業(yè)、降低風(fēng)險(xiǎn)的安全控制選項(xiàng)之一。ABAC的實(shí)施可以降低未授權(quán)操作訪問受保護(hù)資源的風(fēng)險(xiǎn),因?yàn)锳BAC可以通過一致地實(shí)施執(zhí)行易更新的精確策略,應(yīng)對不斷變化的威脅。第二,ABAC將受保護(hù)的客體暴露給未知實(shí)體訪問,ABAC可能增加,也可能減少企業(yè)的運(yùn)營風(fēng)險(xiǎn)。假設(shè)屬性發(fā)布過程是正常的,ABAC系統(tǒng)在一定程度上依賴于屬性發(fā)布機(jī)構(gòu)。風(fēng)險(xiǎn)源的多樣性給ABAC帶來了許多挑戰(zhàn),必須通過治理和正式的信任模型來應(yīng)對這些挑戰(zhàn)。
在建立ABAC固有風(fēng)險(xiǎn)的治理模型時(shí),重要的是確保與每個(gè)責(zé)任機(jī)構(gòu)建立機(jī)制和協(xié)議,以便監(jiān)測和管理這些信任根以及由于不正當(dāng)訪問而產(chǎn)生的任何責(zé)任。
3
開發(fā)操作需求和體系結(jié)構(gòu)
在實(shí)施ABAC解決方案之前,必須滿足下列幾個(gè)頂層的操作和架構(gòu)(architecture)規(guī)劃需求:
?? 首先,確定將由ABAC共享和保護(hù)的客體。
?? 第二,定義規(guī)則或策略。
?? 第三,與主、客體屬性的主管部門一起,協(xié)調(diào)訪問控制規(guī)則開發(fā)人員,確定和定義主、客體屬性。
?? 第四,開發(fā)與策略編寫、驗(yàn)證和管理相關(guān)的流程。
?? 最后,確定ACM在企業(yè)中的部署位置,與屬性、策略和策略決策相關(guān)的請求和響應(yīng)如何產(chǎn)生。
3.1
客體標(biāo)識(shí)和策略分配
ABAC解決方案需要共享和保護(hù)的客體可能隨著組織要求的差異而有所不同。每個(gè)客體或客體類都必須被標(biāo)識(shí)出來,保護(hù)每個(gè)客體或客體類的策略或規(guī)則也都必須寫入文檔。需要建立一組業(yè)務(wù)流程來給在ABAC部署范圍內(nèi)創(chuàng)建的每個(gè)新客體建立標(biāo)識(shí)、分類和分配策略。
3.2
屬性體系結(jié)構(gòu)
通常,訪問控制策略通過一些包含屬性的條文來描述。因此,策略中所有用到的屬性都必須建立、定義,并受賦值范圍的約束。定義"屬性及其賦值范圍"的數(shù)據(jù)模式(Schema)必須發(fā)布給所有參與者,以幫助客體屬主開發(fā)規(guī)則。一旦建立了屬性和賦值范圍,就需要建立為主體和客體提供屬性和適當(dāng)屬性值的方法,以及包含屬性存儲(chǔ)庫、檢索服務(wù)或完整性檢查服務(wù)的體系結(jié)構(gòu),為了實(shí)現(xiàn)這些屬性的共享,還需要為其實(shí)現(xiàn)開發(fā)接口和共享機(jī)制。
3.3
主體屬性
人作為主體時(shí),其主體屬性通常是由企業(yè)組織提供,并且可能由幾個(gè)不同的主管部門(人力資源、安保、組織領(lǐng)導(dǎo)等)提供。在這種情況下,獲取權(quán)威數(shù)據(jù)的方法是眾所周知的。例如,只有安保部門能夠基于官方的個(gè)人許可信息,提供許可屬性或?qū)υS可屬性值的斷言;個(gè)人不能修改自己的許可屬性值。其他主體屬性可能涉及主體的當(dāng)前任務(wù)、物理位置和發(fā)送請求的設(shè)備等;需要開發(fā)評估模塊來確保此類主體屬性數(shù)據(jù)的質(zhì)量(精準(zhǔn)度,有效性等)。
權(quán)威部門提供的主體屬性應(yīng)該在質(zhì)量、保證、隱私和服務(wù)期望方面具有適當(dāng)?shù)目尚判浴_@些期望可以在屬性實(shí)踐聲明(APS)中定義。APS提供將在整個(gè)企業(yè)中使用的屬性列表,并且可以標(biāo)識(shí)企業(yè)的權(quán)威屬性源。另外,還需要進(jìn)一步擴(kuò)展網(wǎng)絡(luò)基礎(chǔ)設(shè)施功能(包括維護(hù)屬性機(jī)密性、完整性和可用性的能力),以便在組織內(nèi)部或跨組織共享和復(fù)制權(quán)威的主體屬性數(shù)據(jù)。
3.4
客體屬性
客體屬性通常在客體創(chuàng)建時(shí)設(shè)置,可綁定到客體或存儲(chǔ)在客體以外并被客體引用。顯然,訪問控制機(jī)構(gòu)無法密切監(jiān)測所有事件。通常,這些信息是由非安全流程和需求驅(qū)動(dòng)的。完好的屬性數(shù)據(jù)才能支持完好的策略決策,必須采取某種措施,確保客體屬性只能以客體屬主或管理員認(rèn)為合適的流程來進(jìn)行分配或驗(yàn)證。例如,客體屬性不能被主體修改以操縱訪問控制決策的結(jié)果。訪問控制機(jī)制在計(jì)算策略決策時(shí),客體屬性必須可供檢索。創(chuàng)建客體屬性的其他注意事項(xiàng)包括:
???一般來說,用戶不知道客體屬性的值(例如,給定用戶被授權(quán)訪問哪個(gè)敏感分區(qū))。這應(yīng)該在ACM中考慮,以便用戶只看到適用于他們的值。
?? 與主體屬性一樣,需要一個(gè)定義屬性名和允許值的客體屬性模式。
?? 屬性需要在DP、MP和NLP中保持一致。
聯(lián)邦政府和商業(yè)界已經(jīng)做出了許多努力來創(chuàng)建客體屬性標(biāo)記工具,這些工具不僅提供數(shù)據(jù)標(biāo)記,還提供客體屬性的加密綁定和客體屬性字段的驗(yàn)證,以滿足訪問控制決策要求。
3.5
環(huán)境條件
環(huán)境條件是指與特定的主體或客體無關(guān),但在決策過程中必需的上下文信息。與主體和客體屬性不同的是,它們不是因管理需要才被創(chuàng)建和管理,而是內(nèi)在的、必須由ABAC系統(tǒng)檢測到。環(huán)境條件(如當(dāng)前日期、時(shí)間、位置、威脅和系統(tǒng)狀態(tài))通常在授權(quán)訪問請求時(shí)根據(jù)當(dāng)前匹配的環(huán)境變量進(jìn)行評估。環(huán)境條件允許ABAC策略定義例外規(guī)則,或者只通過主體/客體屬性無法描述的動(dòng)態(tài)AC規(guī)則。在使用環(huán)境條件編寫ABAC規(guī)則時(shí),需要確保環(huán)境條件變量及其值是全局可訪問的、防篡改的、并且與當(dāng)前的使用環(huán)境相關(guān)。
3.6
訪問控制規(guī)則
在ABAC中,所有AC規(guī)則都必須包含一些屬性的組合和允許操作還可能包括條件、層次化的繼承和一些復(fù)雜邏輯,它們?yōu)锳BAC實(shí)現(xiàn)提供了豐富的選項(xiàng)。規(guī)則集和它們到客體的應(yīng)用方式都必須進(jìn)行適當(dāng)?shù)墓芾怼R?guī)則必須準(zhǔn)確、完整地反映NLP,并且由權(quán)威部門(企業(yè)組織或資源屬主)開發(fā)定義、應(yīng)用、維護(hù)、共享和斷言。ABAC支持來自多個(gè)利益相關(guān)方的多個(gè)規(guī)則,也需要新的技術(shù)來協(xié)調(diào)不同的規(guī)則,以獲得信息共享與保護(hù)之間的平衡。在某些情況下,可能需要限制哪些規(guī)則對哪些客體可見,以降低未經(jīng)授權(quán)的主體通過操縱屬性來獲取授權(quán)的可能性。在其他情況下,被拒絕訪問的主體應(yīng)該需要一種方法驗(yàn)證或糾正那些導(dǎo)致拒絕訪問的條件。某些組織可能希望跟蹤訪問被拒絕的情況,以便檢查規(guī)則是否合適。同樣,規(guī)則定義和部署機(jī)制和過程中應(yīng)該包括強(qiáng)大的規(guī)則沖突消解(解決不同規(guī)則的決策結(jié)果不一致的問題)能力,以便確定規(guī)則沖突和解決方式。
3.7
訪問控制機(jī)制與上下文處理
為避免客體保護(hù)中的沖突和脆弱性,ACM的組成結(jié)構(gòu)和部署方式必須預(yù)先確定。例如,如果某一客體由兩個(gè)不同的組織持有,未經(jīng)授權(quán)的主體不應(yīng)該僅通過限制較弱的組織的授權(quán),就獲得對象的訪問權(quán)。企業(yè)組織應(yīng)以一致的方式管理、維護(hù)和使用ACM,以確保互操作性和全面的安全性。
ACM檢索信息、計(jì)算決策和執(zhí)行決策的順序可能因?qū)崿F(xiàn)的差異而大不相同,甚至在計(jì)算訪問控制決策時(shí)還要考慮環(huán)境條件。這就是上下文處理,簡單指ACM在收集決策所需數(shù)據(jù)時(shí)執(zhí)行的工作流。
此外,出于性能和可擴(kuò)展性的考慮,策略、屬性和決策信息在整個(gè)企業(yè)中存儲(chǔ)和交換的位置,以及如何實(shí)現(xiàn)也是一個(gè)需要的考慮因素。
貳
采購/開發(fā)階段的考慮
在采購/開發(fā)階段,企業(yè)通過設(shè)計(jì)、購買、編程、開發(fā)等各種方式來搭建系統(tǒng)。通常,在此階段,組織準(zhǔn)備要在企業(yè)范圍內(nèi)運(yùn)行的業(yè)務(wù)流程,并定義要部署和集成的系統(tǒng)。在這個(gè)階段的第一環(huán)節(jié),企業(yè)應(yīng)該同時(shí)定義系統(tǒng)的安全性和功能需求。在這一階段的最后環(huán)節(jié),在項(xiàng)目進(jìn)入實(shí)施/評估階段之前,組織應(yīng)對技術(shù)和安全特性/功能進(jìn)行開發(fā)性測試,以確保它們能夠按預(yù)期運(yùn)轉(zhuǎn)。
1
業(yè)務(wù)流程生成和部署準(zhǔn)備
1.1
規(guī)則文件
對于由組織控制的每種類型的客體,都應(yīng)該有一組對應(yīng)的訪問控制規(guī)則記錄在NLP中。(用例可能是企業(yè)為一組對象定義NLP的最簡單的方法)這些規(guī)則應(yīng)該規(guī)定主體能或不能與這些由組織控制的數(shù)據(jù)或服務(wù)進(jìn)行交互(包括創(chuàng)建、查看、修改、刪除、轉(zhuǎn)發(fā)),以及在什么上下文或環(huán)境條件下?lián)碛羞@些特權(quán)。記錄這些規(guī)則的時(shí)候,應(yīng)當(dāng)包含組織對適用策略和指南的解釋、適用客體的特殊敏感性以及與這些客體相關(guān)的用戶社區(qū)知識(shí)。
記錄NLP有助于DP的開發(fā),并提供從數(shù)字策略到書面策略的追溯。例如,許多組織難以將授權(quán)功能從ACL遷移到更健壯的ABAC基礎(chǔ)設(shè)施,原因在于缺少NLP。例如,在接收到訪問請求時(shí),數(shù)據(jù)屬主按照某種原則(通常沒有文檔記錄)進(jìn)行評估,“此人是否為工作組成員?”或“我對他或他的單位熟悉嗎?”,然后在將請求者的名稱添加到ACL之前作出訪問決策。有良好文檔記錄的NLP能夠?qū)⒃L問控制的決策過程,從人工生成的方式過渡到由一致的自動(dòng)策略驅(qū)動(dòng)生成的方式。
1.2
本地策略
除非上級部門或義務(wù)要求,下級組織不應(yīng)降低本地策略的嚴(yán)格程度。如果企業(yè)中的下屬組織能夠獨(dú)立地放寬企業(yè)策略制定的限制條件,那么系統(tǒng)固有的安全性就會(huì)受到破壞,可能允許本地訪問本應(yīng)被禁止的企業(yè)客體。
在聯(lián)合企業(yè)中,本地訪問策略實(shí)現(xiàn)的時(shí)候,需要基于主體所在的組織到本地組織的屬性映射,并能夠反映與客體關(guān)聯(lián)的企業(yè)訪問控制策略。根據(jù)組織之間的共享協(xié)議,具有共享所有權(quán)或控制權(quán)的客體應(yīng)根據(jù)最嚴(yán)格的策略進(jìn)行保護(hù)。
1.3
屬性的一致性約定與理解
企業(yè)主體和客體屬性的定義和取值范圍必須是有效且一致的,以便授權(quán)組件能夠在整個(gè)企業(yè)中,按照全局一致的已知屬性值計(jì)算授權(quán)決策。無論這些屬性是在組織內(nèi)專用還是跨組織使用,屬性的生命周期管理是屬性主管部門的責(zé)任。
1.4
理解屬性的意義
屬性服務(wù)提供者需要描述屬性及其與其他屬性的關(guān)系,以便使用者能夠正確、有效地使用屬性。屬性服務(wù)提供者必須記錄屬性值的權(quán)威定義和含義,并指導(dǎo)這些屬性的使用。在某些情況下,必須將屬性與其他屬性結(jié)合使用,才能建立有效的上下文,例如角色和組織的組合——除非角色定義在組織上下文中,否則它沒有任何意義。例如,對于整個(gè)組織的運(yùn)營總監(jiān),他的職責(zé)可能包括財(cái)務(wù)、人力資源、法律和其他部門,其上下文含義與IT部門Web服務(wù)分部的運(yùn)營總監(jiān)完全不同。如果不了解屬性、上下文,也不理解屬性值對策略決策的意義,那么DP和決策可能會(huì)在信息不足的情況下或使用錯(cuò)誤的算法生成。
1.5
訪問失敗的處理過程
應(yīng)建立一套針對拒絕訪問和運(yùn)行錯(cuò)誤等異常情況進(jìn)行處理的流程/程序,以便在給定任務(wù)、角色以及確保知其所需原則的前提下,為用戶提供一種能夠矯正/調(diào)整訪問決策結(jié)果的方法。由于在ABAC中,授權(quán)服務(wù)從傳統(tǒng)的將帳戶添加到ACL中的方式逐漸成熟,發(fā)展到自動(dòng)決策的方式,系統(tǒng)用戶很難理解和矯正訪問拒絕(指矯正決策結(jié)果)。ABAC為獲得訪問授權(quán)而建立的“屬性發(fā)現(xiàn)”和“屬性獲取”流程將有助于簡化這種轉(zhuǎn)變,這也可以擴(kuò)展到解決連接丟失等訪問授權(quán)服務(wù)組件時(shí)的問題。
在任務(wù)關(guān)鍵型角色中,主體應(yīng)該能夠理解這些限制,并請求一些例外的操作,如轉(zhuǎn)向官方的幫助系統(tǒng),或者嘗試其他路徑來訪問等效的信息或服務(wù)。
1.6
屬性的隱私考慮
開發(fā)ABAC應(yīng)依從所有適用的隱私法律、指令和政策。由于主體屬性的個(gè)人性和描述性,屬性共享的實(shí)施可能會(huì)由于無意中將屬性數(shù)據(jù)暴露給不受信任的第三方,或?qū)⒚舾行畔⒕奂诒Wo(hù)程度較低的環(huán)境中,而增加侵犯個(gè)人身份信息(PII)隱私的風(fēng)險(xiǎn)。支持“屬性共享”的組織應(yīng)通過信托協(xié)議,以確保正確處理PII和執(zhí)行PII條例。這些協(xié)議應(yīng)詳細(xì)說明信任鏈中所有組成部分對PII的授權(quán)使用和處理,以及驗(yàn)證、補(bǔ)救和裁定違規(guī)責(zé)任的方法。第二個(gè)考慮是,主體屬性可以通過授予/拒絕決策的模式來呈現(xiàn)。如果主體訪問某個(gè)特定資源,則該主體必須具有該資源的訪問規(guī)則中指定的屬性,組織應(yīng)保護(hù)訪問日志或其他可能泄漏授予/拒絕決策的信息。
1.7
數(shù)字策略創(chuàng)建和維護(hù)
系統(tǒng)中定義的每個(gè)DP都應(yīng)滿足NLP的要求。DP屬于敏感數(shù)據(jù),需要像客體一樣,按照適當(dāng)?shù)牟呗詠磉M(jìn)行保護(hù)。這些策略可能與DP特定部分的創(chuàng)建和修改有關(guān)。DP必須由能夠解釋NLP,并有權(quán)編寫DP的人來編寫或修改。一個(gè)NLP可能需要定義多個(gè)DP來實(shí)施,應(yīng)特別考慮確保低級策略不會(huì)與高級策略沖突。不同的組織應(yīng)制定和維持只適用于其組織或下屬組織的本地策略(local policy)或特定策略。
2
系統(tǒng)開發(fā)解決方案
2.1
企業(yè)內(nèi)的標(biāo)準(zhǔn)化和互操作性
實(shí)現(xiàn)者應(yīng)該使用全面的標(biāo)準(zhǔn)化方法,通過利用滿足這些目標(biāo)的產(chǎn)品或能力,實(shí)現(xiàn)當(dāng)前的互操作性和未來部署的靈活性。實(shí)現(xiàn)互操作性和經(jīng)濟(jì)高效的ABAC部署的慣例方法是使用一系列標(biāo)準(zhǔn)、規(guī)范和標(biāo)準(zhǔn)化配置(定義標(biāo)準(zhǔn)選項(xiàng)的子集,即配置文件)。具有可選元素的標(biāo)準(zhǔn)可能會(huì)被開發(fā)者以不同的方式實(shí)現(xiàn),最終導(dǎo)致完全符合標(biāo)準(zhǔn)的服務(wù)或應(yīng)用程序卻無法支持互操作。因此,應(yīng)該定義明確和標(biāo)準(zhǔn)化的配置文件,特別是在跨組織環(huán)境中。當(dāng)獲取ABAC解決方案時(shí),實(shí)施者應(yīng)該使用通常約定的專門配置文件,同時(shí)考慮標(biāo)準(zhǔn)注冊機(jī)構(gòu)提供的標(biāo)準(zhǔn)和配置文件。
單個(gè)授權(quán)服務(wù)組件(例如,策略決策點(diǎn)、策略執(zhí)行點(diǎn)、策略檢索點(diǎn)、屬性檢索點(diǎn)、元屬性檢索點(diǎn))應(yīng)使用標(biāo)準(zhǔn)的開放接口開發(fā),以便來自多個(gè)產(chǎn)品的系統(tǒng)可以同時(shí)部署,并能夠確保互操作性。企業(yè)應(yīng)考慮將功能、接口、基礎(chǔ)設(shè)施和產(chǎn)品支持的需求作為采購流程的篩選條件,而不用考慮目標(biāo)產(chǎn)品的分類或從屬關(guān)系。
2.2
身份管理集成
訪問客體的請求必須經(jīng)過身份驗(yàn)證,證明是來自唯一的主體。身份驗(yàn)證通過使用身份憑證來實(shí)現(xiàn),并且必須在做出訪問決策之前完成。ABAC系統(tǒng)需要支持組織使用的認(rèn)證機(jī)制和憑證。這可能意味著,如果這些認(rèn)證機(jī)制或憑證阻礙了ABAC的實(shí)現(xiàn),組織就需要對其身份驗(yàn)證基礎(chǔ)設(shè)施進(jìn)行升級改造。這些憑證中傳遞的主體屬性應(yīng)能唯一地確定主體,負(fù)責(zé)頒發(fā)憑證的身份審查過程應(yīng)確保該身份實(shí)體可被追責(zé)。在整個(gè)企業(yè)中,身份發(fā)行和審查過程應(yīng)被認(rèn)為是可信的,并足以執(zhí)行問責(zé)要求。采用強(qiáng)身份驗(yàn)證方法([NIST800-63-3,NIST800-63B])能夠滿足這些要求。一旦主體被認(rèn)證,其主體屬性就可以用來確定訪問決策,并且訪問決策可以被支持審計(jì)的系統(tǒng)捕捉到,以提供訪問請求的屬性信息。例如,采用可信的證書頒發(fā)機(jī)構(gòu)頒發(fā)的X.509證書,通過安全傳輸層協(xié)議TLS1.2與客戶端完成認(rèn)證會(huì)話的訪問請求,通過證書與實(shí)體建立綁定關(guān)聯(lián)。
2.3
支持NPE
在訪問控制服務(wù)中對NPE的支持有特殊的要求。授權(quán)服務(wù)使用與實(shí)體關(guān)聯(lián)的任何形式的屬性。綁定到NPE的屬性不僅有助于定義唯一的NPE,而且還反映了組織中該實(shí)體的上下文。
在某些情況下,NPE主體可能代表一個(gè)或多個(gè)人類主體。這些NPE可以攜帶自己的、獨(dú)立于任何人類主體的身份憑證。請注意,基于NPE憑證生成訪問決策的訪問控制系統(tǒng)將無法在訪問請求發(fā)生時(shí),將該請求歸結(jié)于某個(gè)用戶、或擔(dān)任某個(gè)角色的人,或登錄到組帳戶的人。NPE可以獨(dú)立行事,也可以代表經(jīng)過認(rèn)證的個(gè)人。NPE可以包括網(wǎng)絡(luò)設(shè)備(如交換機(jī)、路由器),運(yùn)行在服務(wù)器(如門戶程序)、工作站和其他終端設(shè)備上的進(jìn)程。隨著任務(wù)和安全功能的日益自動(dòng)化,NPE將在授權(quán)服務(wù)交互中扮演更大的角色。
2.4
ABAC組件間的授權(quán)和數(shù)據(jù)完整性
當(dāng)授權(quán)服務(wù)組件交換敏感信息時(shí),授權(quán)服務(wù)要求ABAC組件(如PEP、PDP)之間進(jìn)行雙向認(rèn)證。對于每次數(shù)據(jù)交換,都應(yīng)考慮對數(shù)據(jù)源、數(shù)據(jù)完整性和及時(shí)性進(jìn)行驗(yàn)證。例如,當(dāng)授權(quán)服務(wù)需要從權(quán)威的屬性服務(wù)獲取屬性時(shí),應(yīng)使用雙向身份驗(yàn)證,然后使用驗(yàn)證消息完整性和消息來源的機(jī)制。在屬性數(shù)據(jù)的交換過程中,雙方都應(yīng)使用強(qiáng)身份驗(yàn)證協(xié)議(例如,X.509身份驗(yàn)證)來提供雙方所需的安全保障級別。
2.5
集成其他安全組件
授權(quán)服務(wù)本身不足以確保分布在整個(gè)企業(yè)中的關(guān)鍵任務(wù)客體所需的安全性。需要建設(shè)全面和一致的安全能力來確保所需的保證級別,通過集成這些能力,能夠?yàn)橹贫ê蛯?shí)施訪問決策提供更全面、更完備的安全信息。這些安全組件包括主體身份驗(yàn)證、安全審計(jì)、安全配置管理、入侵檢測和監(jiān)視功能。
2.6
屬性源的選擇和訪問
授權(quán)權(quán)限需要仔細(xì)的處理,以便權(quán)威的屬性源能夠向策略決策點(diǎn)提供屬性。當(dāng)有多個(gè)屬性服務(wù)可用時(shí),可能具有不同的元屬性(如保障級別),屬性“存儲(chǔ)/策略信息點(diǎn)”應(yīng)在滿足屬性檢索的策略匹配度、性能和可用性要求之間進(jìn)行平衡。
2.7
主體屬性的共享存儲(chǔ)庫
如果目標(biāo)網(wǎng)絡(luò)的連通性可以充分利用規(guī)模效益、加強(qiáng)質(zhì)量控制和標(biāo)準(zhǔn)接口,則應(yīng)考慮采用共享存儲(chǔ)庫來存儲(chǔ)主體屬性。使用共享屬性庫的另一個(gè)優(yōu)點(diǎn)是,可以為來自多個(gè)源的數(shù)據(jù)提供單一的訪問點(diǎn)。與管理多個(gè)連接相比,構(gòu)建和管理到單個(gè)訪問點(diǎn)的連接可能更簡單。在某些情況下,連通性受限、帶寬不足或時(shí)斷時(shí)續(xù)的網(wǎng)絡(luò)連接都會(huì)妨礙授權(quán)服務(wù)提供商可靠地使用共享存儲(chǔ)庫。因此,有必要維護(hù)數(shù)據(jù)的本地副本,它們不能與共享屬性存儲(chǔ)庫保持同步,也無法訪問當(dāng)前最新數(shù)據(jù)。
2.8
最小屬性集
在某些企業(yè)中,可以定義一組最小的屬性集合。通過定義標(biāo)準(zhǔn)的企業(yè)主、客體屬性集,可以方便地修改DP以反映策略的變化。這種方法的典型例子是分類網(wǎng)絡(luò)中的分類和區(qū)分標(biāo)記。在大多數(shù)情況下,如果沒有適當(dāng)?shù)臉?biāo)記,就無法將客體放置在網(wǎng)絡(luò)上,訪問控制策略的定義要能夠處理有限且眾所周知的分類和分區(qū)標(biāo)記。
2.9
環(huán)境條件
在策略需要的時(shí)候,環(huán)境(或上下文)信息能夠輸入到訪問控制過程中。典型的環(huán)境信息包括包括威脅級別、主體/客體位置、身份驗(yàn)證方法或當(dāng)前時(shí)刻。在一定時(shí)間內(nèi),環(huán)境條件的變化可能比主、客體屬性的變化要快得多。
2.10
屬性管理
分配屬性的權(quán)限應(yīng)該被明確地定義,并與適當(dāng)?shù)膶傩圆呗员3忠恢隆D承┬问降挠行则?yàn)證、完整性檢查和來源確認(rèn)機(jī)制(用于驗(yàn)證屬性的完備性、允許值、完整性和更改歷史)應(yīng)集成到用于屬性管理框架中。
2.11
NLP/DP可溯性
高層級的企業(yè)書面策略/NLP和低層級的企業(yè)或本地DP之間的、全面和一致的可溯性應(yīng)由合適的機(jī)構(gòu)維護(hù)。這樣可以確保書面策略的變更能得到充分評估,并相應(yīng)地調(diào)整后續(xù)的DP。有了策略的可溯性,本地組織中多余的DP將是可審計(jì)的、可驗(yàn)證的,并且可以根據(jù)任何更改需求進(jìn)行更改。
2.12
基于約定屬性的策略規(guī)則
如果組織與其他組織達(dá)成了使用已定義屬性列表的協(xié)議(某些特定于行業(yè)和用例專用的屬性組),則擁有這些客體的組織必須確保它僅基于這些屬性編寫訪問控制策略。如果只影響有限的安全信息共享能力,無論多有限,都應(yīng)盡力使用公認(rèn)可接受的共享企業(yè)屬性集,以確保基本的互操作性。當(dāng)新的需求出現(xiàn)時(shí),企業(yè)可以選擇引入新的企業(yè)屬性和它們的共享規(guī)則。
例如,OASIS XACML 美國出口管制(EC-US)和知識(shí)產(chǎn)權(quán)管理(IPC)概要文件是具有限定值域、特定領(lǐng)域的標(biāo)準(zhǔn)化屬性的范例。EC-US概要文件記錄了美國商務(wù)部出口管理?xiàng)l例(EAR)和美國國務(wù)院國際武器貿(mào)易條例(ITAR)訪問控制決策的共同屬性。
2.13
策略決策服務(wù)的外部化
通常將PDP實(shí)現(xiàn)為與單個(gè)企業(yè)服務(wù)和應(yīng)用程序分離的服務(wù)。這種方式可以避免為每個(gè)企業(yè)服務(wù)或應(yīng)用提供相似決策服務(wù)所帶來負(fù)擔(dān)和費(fèi)用,因?yàn)閱蝹€(gè)PDP可以支持多個(gè)企業(yè)授權(quán)服務(wù)。授權(quán)服務(wù)提供商使用由大型企業(yè)或組織提供的PDP服務(wù),可以極大地簡化服務(wù)/應(yīng)用程序開發(fā);節(jié)省了用于軟件許可、培訓(xùn)、配置和部署這些服務(wù)實(shí)例的資金;并將運(yùn)營和維護(hù)從單個(gè)應(yīng)用中移除。
3
企業(yè)ABAC功能的其他考慮
在開發(fā)和實(shí)現(xiàn)ABAC企業(yè)授權(quán)功能時(shí),架構(gòu)師和程序管理人員必須記住,從現(xiàn)在使用的當(dāng)前訪問控制方法到最終項(xiàng)目完成將會(huì)是一個(gè)長期的過程。隨著標(biāo)準(zhǔn)和技術(shù)的成熟,組織需要接受一些概念,這些概念有助于增強(qiáng)互操作性并促進(jìn)高保障性的解決方案,同時(shí)拋棄專有的、煙囪式的解決方案。
3.1
訪問控制決策的可信度
訪問控制決策是通過從權(quán)威來源收集的、與風(fēng)險(xiǎn)水平相適應(yīng)的準(zhǔn)確、及時(shí)和相關(guān)的數(shù)據(jù)計(jì)算出來的的。訪問控制決策的可信度取決于用于計(jì)算決策的信息的及時(shí)性、相關(guān)性、權(quán)威性、質(zhì)量、可靠性和完備性。建立信任的其他因素包括身份識(shí)別和身份驗(yàn)證過程(例如,身份驗(yàn)證機(jī)制的強(qiáng)度、身份審查、憑證發(fā)放和校對、認(rèn)證、源IP地址)。在采用基于風(fēng)險(xiǎn)的ABAC方法時(shí),應(yīng)考慮上述因素。
3.2
組織間的屬性映射
組織可以用不同的名稱命名屬性和屬性值。為企業(yè)的不同組織提供屬性映射方案,可以最大限度地減少對被稱為“企業(yè)屬性”的這類屬性的需要,這一點(diǎn)可能很重要。屬性映射用作不同命名的屬性或?qū)傩灾抵g的轉(zhuǎn)換。例如,一個(gè)組織可以使用名稱“公民身份”,而另一個(gè)組織可能使用名稱“國籍”來引用同一組屬性值。
在實(shí)踐中,跨組織ABAC可以遵循第3.1.3.1節(jié)和第3.1.3.2節(jié)中概述的協(xié)作方法。這樣,每個(gè)組織能夠在同一個(gè)框架內(nèi)作出本地決定,該框架可以保證組織之間的適當(dāng)控制。創(chuàng)建新策略時(shí),如果策略作者創(chuàng)建或指定自己的屬性,則策略可能無法互操作。使用預(yù)先約定的屬性將使策略更加統(tǒng)一和易于理解。
叁
實(shí)施/評估階段的考慮
在實(shí)現(xiàn)/評估階段,組織安裝或?qū)崿F(xiàn)系統(tǒng),配置并啟用系統(tǒng)的安全特性,測試這些功能特性,最后獲得操作運(yùn)行該系統(tǒng)的正式授權(quán)。在這個(gè)階段中,大多數(shù)的考慮都集中在優(yōu)化性能和確保安全功能的正常運(yùn)行方面上。
1
屬性緩存
當(dāng)ABAC解決方案從原型/試點(diǎn)轉(zhuǎn)移到部署時(shí),可以考慮使用屬性緩存來提高性能。如果每個(gè)訪問決策都需要跨網(wǎng)絡(luò)的屬性請求,ABAC的性能可能會(huì)受到負(fù)面影響。這在低帶寬、高延遲的環(huán)境中尤其明顯。
除了與屬性緩存有關(guān)的性能問題外,組織還需要對屬性新鮮度對安全性的影響進(jìn)行權(quán)衡。不能持續(xù)刷新的屬性顯然不如實(shí)時(shí)刷新的屬性安全。例如,上次刷新后,主體的訪問權(quán)限可能已發(fā)生變化,但在下次刷新緩沖數(shù)據(jù)之前,這些變化不會(huì)反映在緩沖數(shù)據(jù)中。
具有零星連通性的環(huán)境需要在本地級別緩存屬性。使用本地緩存屬性的安全后果需要在組織范圍內(nèi)的策略級來確定,并需要使用適當(dāng)?shù)募夹g(shù)手段來解決。在這些斷開連接的環(huán)境中,管理員可以使用基于風(fēng)險(xiǎn)的分析作為訪問決策的基礎(chǔ),因?yàn)楸镜?#xff08;斷開連接的)級別的屬性可能會(huì)在系統(tǒng)刷新前更改或刪除。本地(斷開連接的系統(tǒng))對可能過時(shí)的緩存屬性的使用可能會(huì)給系統(tǒng)帶來一定的風(fēng)險(xiǎn),因?yàn)楸镜叵到y(tǒng)沒有使用最新的可用屬性。因此,有必要對是否部署此類解決方案進(jìn)行基于風(fēng)險(xiǎn)的分析。
例如,現(xiàn)在要在一艘船上部署,該船僅與企業(yè)網(wǎng)絡(luò)之間存在間斷性的,非理想的網(wǎng)絡(luò)連接。因?yàn)椴渴鸬挠脩羧涸谡麄€(gè)運(yùn)輸過程中只有微小的變化,所以支持“意料之外”的系統(tǒng)用戶就不那么重要了。在這種情況下,主體屬性的批量下載和本地存儲(chǔ)對于大多數(shù)本地訪問控制決策來說可能就足夠了。因此,主體屬性數(shù)據(jù)可以在整個(gè)部署過程中存儲(chǔ)在船上,本地應(yīng)用程序和服務(wù)可以使用本地存儲(chǔ)中的數(shù)據(jù),而無需訪問權(quán)威的企業(yè)屬性源。雖然這是特殊環(huán)境的一個(gè)案例,但不應(yīng)認(rèn)為這是唯一的解決辦法。
2
屬性源最小化
最小化授權(quán)決策中的屬性源的數(shù)量,可以提高性能并簡化ABAC解決方案的安全管理。計(jì)劃部署ABAC解決方案的組織,可能會(huì)受益于在解決方案部署過程中,組織的所有利益相關(guān)者之間建立起來的密切的工作關(guān)系。
3
接口規(guī)范
為了確保能夠可靠地訪問ABAC服務(wù),所有通過企業(yè)ABAC功能參與信息共享的組織都應(yīng)充分了解各類請求(包括屬性請求和DP請求)的接口、交互方式和先決條件。同樣重要的是,當(dāng)基礎(chǔ)設(shè)施和接口需求發(fā)生變化時(shí),要確保能向所有依賴這些部件的組織提供更新通知,以便他們能夠規(guī)劃相應(yīng)組件的修改。
肆
操作/維護(hù)階段的考慮
在操作/維護(hù)階段,系統(tǒng)和產(chǎn)品均已就位,系統(tǒng)的操作、增強(qiáng)和修改已經(jīng)開發(fā)和測試完畢,硬件和軟件也得以到添加或更換。在此階段,組織應(yīng)當(dāng)監(jiān)控系統(tǒng)的性能,以確保其符合預(yù)先設(shè)定的用戶和安全需求,同時(shí)所需的系統(tǒng)修改也已完成。
1
質(zhì)量數(shù)據(jù)的可用性
由于訪問控制決策所需的信息(在某些情況下包括決策本身)可能處在客體和使用者外部,因此對信息和服務(wù)的訪問將更加依賴于外部服務(wù)提供及時(shí)和準(zhǔn)確數(shù)據(jù)的能力。基礎(chǔ)設(shè)施必須是健壯的、經(jīng)過良好測試的、有彈性的,并且可以根據(jù)任務(wù)需求進(jìn)行擴(kuò)展。這對于支持屬性服務(wù)、屬性存儲(chǔ)、策略存儲(chǔ)、策略和屬性生成和驗(yàn)證組件、決策引擎、元屬性存儲(chǔ)庫和信息通道。如果外包,服務(wù)協(xié)議應(yīng)詳細(xì)說明可用性、響應(yīng)時(shí)間、數(shù)據(jù)質(zhì)量和完整性要求。例如,對于被視為關(guān)鍵部件的數(shù)據(jù)和服務(wù),必須考慮故障轉(zhuǎn)移、冗余備份和業(yè)務(wù)連續(xù)性。為了保持高質(zhì)量數(shù)據(jù)的可用性,需要由經(jīng)過培訓(xùn)、授權(quán)的人員執(zhí)行屬性值的添加、更新和刪除,并定期進(jìn)行審核。
屬性、服務(wù)的提供者和使用者之間的正式協(xié)議應(yīng)該滿足適當(dāng)?shù)姆?wù)、質(zhì)量、可用性、保護(hù)和使用標(biāo)準(zhǔn)。各種法律法規(guī)規(guī)定了與相應(yīng)保護(hù)信息相關(guān)的職責(zé)、責(zé)任和處罰。協(xié)議應(yīng)包含這些要求以及與數(shù)據(jù)責(zé)任相關(guān)的要求。
在組織之間建立適當(dāng)程度的信任協(xié)議是重要的。這些協(xié)議將有助于用一系列要求形式化這些信任關(guān)系,并可能有助于對違規(guī)項(xiàng)的處罰。屬性服務(wù)的APS和MOU/MOA以及權(quán)威和負(fù)責(zé)的屬性源也可以將組織策略轉(zhuǎn)化為操作規(guī)程。這些正式協(xié)議描述了這些服務(wù)的目的、用途、參與者、責(zé)任和管理。
結(jié)論
該文件整理了許多以前獨(dú)立的ABAC知識(shí),以彌合現(xiàn)有技術(shù)和ABAC實(shí)現(xiàn)之間的鴻溝,并滿足聯(lián)邦政府內(nèi)對ABAC產(chǎn)生的興趣。
ABAC通過計(jì)算策略規(guī)則中實(shí)體(主體和客體)、操作和與環(huán)境的屬性值,生成策略決策,來控制對客體的訪問。ABAC依賴于對主體的屬性、客體的屬性以及形式關(guān)系或訪問控制規(guī)則(定義允許操作所應(yīng)滿足的主體-客體屬性組合)的求值。ABAC支持精確的訪問控制,允許為訪問控制決策提供大量的離散輸入,以及這些變量的不同組合,以反映不同的規(guī)則、策略或訪問限制。因此,ABAC允許數(shù)量不受限制的組合屬性,以滿足豐富的策略集需求。
本文定義了理解ABAC所必需的基本概念。具體來說,包括主體和客體屬性,以及ABAC模型及其組件的一般特性。按照系統(tǒng)開發(fā)生命周期給出了一些思考建議,供企業(yè)在ABAC項(xiàng)目的規(guī)劃、設(shè)計(jì)、開發(fā)、實(shí)現(xiàn)和運(yùn)營過程中借鑒。特別針對大型企業(yè),討論了ABAC機(jī)制的優(yōu)點(diǎn)和常見缺陷。
ABAC提供了前所未有的靈活性和安全性,同時(shí)促進(jìn)了不同組織之間的信息共享。至關(guān)重要的是,這些能力的開發(fā)和部署基于共同的概念和功能要求,以確保最大程度的互操作性。ABAC非常適合大型企業(yè)。ABAC系統(tǒng)可以實(shí)現(xiàn)現(xiàn)有的基于角色的訪問控制策略,并且可以支持從基于角色的訪問控制遷移到基于請求方不同特性的、更細(xì)粒度的訪問控制策略。它支持外部(非可預(yù)期)用戶,并為其提供更高效的管理。然而,與簡單的訪問控制系統(tǒng)相比,ABAC系統(tǒng)更復(fù)雜,因此實(shí)現(xiàn)和維護(hù)成本更高。
總結(jié)
以上是生活随笔為你收集整理的基于属性的访问控制(ABAC)定义与思考 ——企业ABAC的实施问题的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 访问控制模型(DAC,MAC,RBAC,
- 下一篇: 用计算机娱乐教学反思,计算机教学反思