基于属性的访问控制(ABAC)有哪些优势?
作者: 日期:2022年02月25日 阅:2,571

对IT管理员来说,用微软 Active Directory(活动目录)管理访问控制存在一些问题。一是在用户生命周期管理方面Active Directory容易滞后,例如员工已离职,但 AD 账号未及时冻结,存在离职人员依旧可以访问内网资源的情况,对企业而言存在安全隐患。二是 AD 运维需要专人专职,有技术门槛,运维代价高。

现如今更流行的是基于属性的访问控制(ABAC),它最大的优势在于可以通过将各种更丰富的属性信息进行组合形成访问控制条件,从而灵活适应各种资源访问场景。ABAC 本质上比传统目录访问控制更适合当今充满威胁的环境,在更需谨慎遵守零信任原则的时代背景下对企业而言更加有利。

一、什么是基于属性的访问控制?

ABAC(Attribute-Based Access Control)是一种授予和管理用户对IT资源的访问权限的方法,用来支持需要更多上下文感知的环境,而不是简单的以用户为中心的参数,比如他们被分配的角色。ABAC 常被云提供商及身份和访问管理(IAM)解决方案所使用,在我们周围 ABAC 通常被用来整顿 IAM 的混乱秩序,其中包括:

  • 在授予或拒绝访问权限时,通过在帐户中考虑部门、位置、经理、日期时间等帐户属性以及其他有用的参数来保护应用程序、数据库和文件服务器
  • 保护 API,以免敏感信息意外泄露
  • 有效满足合规性要求
  • 通过基于每个用户做出策略决策来动态控制网络防火墙

更传统的访问控制方法如基于角色的访问控制(Role-Based Access Control,RBAC)只考虑员工是否在指定的系统中具有相应的访问权限。Active Directory(甚至 Azure Active Directory)保持着与传统 RBAC 类似的姿态,其中用户的角色(AD 中的安全组)决定了访问权限。

这与ABAC形成了鲜明的对比,ABAC 本质上是提供智能决策的”防火墙”,以保护对IT资源的访问。它应用”if/then”逻辑来确定用户在给定的时间内所呈现的风险。例如,员工在度假期间,利用公共 Wi-Fi 临时访问某一个敏感应用时,会被禁止访问,因为他所处在的 IP 被认为是不够安全的。

使用 ABAC 的方式提高了 IT 效率,并提供了更主动的安全控制

二、宁盾如何将 ABAC 应用于访问控制

宁盾一体化安全认证平台采用 ABAC 的访问控制模型,并充分利用了 ABAC 的优势,将其应用于群组的创建和维护。这是很有必要的,因为宁盾可以管理对各种平台上许多不同类型的端点的访问。ABAC 在授予用户访问服务权限之前会检查用户的属性,宁盾一体化安全认证平台会根据用户的身份状态自动授予其对应的权限。具体表现为:平台会依据上下文消息实时检测用户当前的属性状态,来动态计算权限。例如,当组成员被转移到不同的部门或成为主管时,平台可以基于 ABAC 属性实时变化。

宁盾一体化安全认证平台能够基于各种属性来定义访问控制条件,如用户组、用户角色、登录类型、终端类型、终端 IP、MAC 列表集等属性,来帮助管理员管理被宁盾纳管的资源(例如应用、服务、服务器等)的访问权限,并且可以配置多属性复合条件,例如同时既符合终端 IP 条件,又必须符合登录类型才能授予访问权限。总之可以基于任意数量的自定义属性在生产环境中进行实时更新,具体取决于您管理访问权限的应用程序。

宁盾一体化安全认证平台通过“作用域”(scope)这一方式,预置了应用程序的可访问范围。简单理解,也就是哪些组/角色的用户可访问该应用。当用户因为岗位调动,角色/组织发生变动时,作用域会自动同步,不用管理员额外做配置。

ABAC的使用场景

条件访问策略使用设备、网络甚至地理位置等参数来保护对IT资源的访问。ABAC 可以实现更精细的访问控制,匹配复杂的业务场景。在企业生产、办公中常见的几个场景如下:

1、基于终端IP

当员工在公司内网访问 OA 办公系统时,不需要动态密码认证即可成功访问 OA 系统。但当员工在外出差办公时,访问 OA 系统则需要动态密码认证。这是一个基于员工的终端 IP 属性进行策略下发的场景。

2、基于用户源

内部员工访问公司核心交换机,认证通过后具备读写权限(write);外包人员访问公司核心交换机,认证通过后具备只读权限(read)。

3、基于用户角色+终端合规性

研发人员使用合规终端(运行了杀毒软件、桌管软件的)接入公司网络,可访问生产网段;研发人员使用非合规终端接入公司网络,仅可访问办公网段。

四、变化中的新趋势、新需求

AD 被用来解决管理内网用户和加域终端问题已有二十多年。过去,AD 适用于集中化管理的组织结构,但当企业规模日趋壮大,多层级、纵深结构增加了沟通成本与信息流通速度,缺乏灵活性,不利于企业业务敏捷性的提升和企业价值的快速变现。随着互联网技术的飞速发展,组织建设向扁平化趋势转变,尤其是中小型企业。扁平化组织灵活、快捷、高效,AD 已无法适应这种趋势。继续使用 AD 的企业,IT管理员成为安全性和过度配置之间的防线,且必须主动审计群组和用户生命周期。

即便微软已经应用了 ABAC 的访问控制模型,但是 AD 的影响已经根深蒂固,微软 IAM 方案严重依赖于过时的集中化身份管理概念,并不适应于现代化的 IAM 的需求,也不是为保护远程工作的零信任安全模型设计的。

能够在任何地方开展工作的持续挑战决定了更好的方法,如 ABAC。现在是中小型企业应该往使用 ABAC、条件访问和能够管理对所有 IT 资源安全访问的方法的云目录平台进行迁移的时候了。

宁盾一体化安全认证平台采用零信任安全理念,基于 ABAC 的动态访问控制,更适合企业上云后的身份管理需求。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章