0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

ACL、RBAC、ABAC三大權(quán)限管理模型,到底怎么選?

芯盾時代 ? 來源:芯盾時代 ? 2023-04-24 09:20 ? 次閱讀
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

多年以后,面對IAM后臺,運維小李將會想起師父帶他去見識權(quán)限管理的那個遙遠的下午。當時,公司是個二十多個員工的小企業(yè),一個個業(yè)務(wù)應(yīng)用都有獨立后臺,管理簡單,每個應(yīng)用一個訪問控制列表,列表里寫明了員工的賬號和權(quán)限,像圖書館的借書記錄。 后來,公司的員工越來越多,業(yè)務(wù)應(yīng)用越來越多。小李開始創(chuàng)建用戶組,給員工分配角色,權(quán)限管理工作量越來越大。再后來,小李了解到有種權(quán)限管理模型叫ABAC,又開始研究如何給應(yīng)用配置訪問控制,工作量進一步攀升。小李有些迷茫,模型越來越先進,但權(quán)限管理卻越來越復(fù)雜,到底怎么搞才能讓權(quán)限管理又精細又準確、又便利又安全?

三大權(quán)限管理模型怎么選?

想弄清小李遇到的難題,先要厘清權(quán)限管理的目的。權(quán)限管理,是為了讓用戶可以訪問而且只能訪問自己被授權(quán)的資源,不能多也不能少。這個目的需要借助各種權(quán)限管理模型來實現(xiàn)。ACL(訪問控制列表)是率先登場的權(quán)限管理模型。它的概念很簡單,每一個需要被訪問控制機制保護的資源對象(稱為客體)都維持一個獨立的關(guān)聯(lián)映射表,其中記錄了對該客體進行訪問的實體(稱為主體)被授予訪問客體的權(quán)限,以及允許對客體執(zhí)行哪些操作。當主體試圖訪問客體時,系統(tǒng)會檢查映射表,確定是否允許訪問。

139ba970-e017-11ed-bfe3-dac502259ad0.png

以圖書館為例,ACL相當于在每本書上都附了一張借閱許可清單,列出了每一個有權(quán)限借書的人,以及他們可以借閱的時間。這種方式簡單實用,卻存在兩大問題,一是每次訪問時都必須檢查客體的ACL,會耗費一定資源;二來大用戶量、多業(yè)務(wù)應(yīng)用的環(huán)境下,ACL的添加、刪除和更改比較復(fù)雜,容易出現(xiàn)錯誤。RBAC(基于角色的訪問控制)是比ACL更新的權(quán)限管理模型。它采用了可分配給主體具有特定權(quán)限集的預(yù)定義角色,訪問權(quán)限由為個體分配角色的人提前定義,最終由客體屬主在確定角色權(quán)限時明確。在處理訪問請求時,系統(tǒng)會評估主體的角色以及角色對應(yīng)的權(quán)限,生成訪問控制策略。

13bb856a-e017-11ed-bfe3-dac502259ad0.jpg

還是以圖書館為例,RBAC相當于給每一個借書人分配了“學生”、“老師”、“某課題組成員”等不同的角色,“學生”可以借10本書,“老師”可以借20本書,“某課題組成員”可以借閱與課題有關(guān)的所有書籍。在企業(yè)內(nèi)部,角色可以以級別、部門、項目等維度定義,一個員工可以有多個角色。相比ACL,RBAC能夠借助中間件實現(xiàn)對多個系統(tǒng)和資源訪問權(quán)限的集中管理,簡化了權(quán)限管理流程,使得權(quán)限管理更規(guī)范、更便捷。 RBAC相比ACL更適應(yīng)多用戶、多應(yīng)用、多資源的大型組織,但它的授權(quán)粒度只到角色組,難以對具體的個體實施細粒度的訪問控制。為了彌補這個缺陷,ABAC模型(基于屬性的訪問控制)應(yīng)運而生。與RBAC不同,其訪問控制決策不再以單一的角色為依據(jù),而是基于一組與請求者、環(huán)境和/或資源本身相關(guān)的特征或?qū)傩?。在ABAC模型中,系統(tǒng)將權(quán)限直接分配給訪問主體。當主體請求訪問后,ABAC引擎通過檢查與訪問請求相關(guān)的各種屬性值,基于預(yù)設(shè)的訪問控制策略,確定允許或拒絕訪問。

13d0b2e6-e017-11ed-bfe3-dac502259ad0.jpg

如果應(yīng)用了ABAC,圖書館的借閱管理將更加精細、靈活,比如“老師”平時可以同時借20本書,寒暑假只能借10本,“學生”在假期不能借書,“某課題組成員”如果假期留校仍可無限量借書,離校則不能借書。在ABAC模型中,企業(yè)可以基于時間、地點、IP、設(shè)備、網(wǎng)絡(luò)、操作系統(tǒng)、風險級別等屬性制定不同的訪問控制策略,實現(xiàn)細粒度的權(quán)限管理和動態(tài)訪問控制,幾乎能滿足所有類型的需求,是真正的“高級貨”。

芯盾時代IAM,三種模型按需選擇

面對三種權(quán)限管理模型,很多企業(yè)會陷入選擇困難癥,因為每一種模型都有各自的優(yōu)缺點,都難以解決企業(yè)所有的權(quán)限管理問題。對此,芯盾時代的IAM產(chǎn)品經(jīng)理表示,小孩子才做選擇題,成年人當然全都要。芯盾時代用戶身份與訪問管理平臺(IAM)把三種授權(quán)模型全部安排上,企業(yè)可以基于自身人員規(guī)模、業(yè)務(wù)規(guī)模,資源的重要程度、訪問場景匹配適合的權(quán)限管理模型:

13eb8512-e017-11ed-bfe3-dac502259ad0.png

1.針對只對特殊用戶開放的特殊資源,采用ACL模型管理訪問權(quán)限,人工管理訪問權(quán)限,權(quán)限具體到人,實現(xiàn)對特殊應(yīng)用、特殊用戶的精準權(quán)限管理; 2.針對重要程度一般、訪問場景簡單、訪問人數(shù)多的資源,采用RBAC模型,以角色區(qū)分訪問權(quán)限,實現(xiàn)應(yīng)用的自動化授權(quán),簡化權(quán)限管理工作的同時保證安全性; 3.針對重要程度高、訪問場景復(fù)雜的資源,采用ABAC模型,全面、精準的定義、維護各種屬性,靈活的設(shè)置訪問控制策略,進行細粒度的訪問權(quán)限管理和動態(tài)訪問控制,在提升資源安全性的同時保證訪問的便利性。

140eb67c-e017-11ed-bfe3-dac502259ad0.png

借助芯盾時代IAM,企業(yè)能夠一站式的建立完善的權(quán)限管理體系,分類、分級管理資源訪問的權(quán)限管理,并通過用戶自動授權(quán)、自助申請權(quán)限簡化權(quán)限管理流程,形成完整的自動化授權(quán)與賬號管理體系,實現(xiàn)業(yè)務(wù)應(yīng)用的統(tǒng)一權(quán)限管理。 統(tǒng)一的權(quán)限管理只是芯盾時代IAM四大核心功能之一,它與其它三大功能一起,為企業(yè)構(gòu)建規(guī)范的統(tǒng)一身份管理平臺:

143264fa-e017-11ed-bfe3-dac502259ad0.png

1.統(tǒng)一身份管理:芯盾時代IAM能夠整合企業(yè)零散的組織用戶數(shù)據(jù),為用戶生成唯一可信的數(shù)字身份標識,實現(xiàn)用戶用戶、權(quán)限、應(yīng)用賬號自動化流轉(zhuǎn)機制,建立身份安全基線,為各種權(quán)限管理模型的實現(xiàn)提供可信的身份信息;2.統(tǒng)一身份認證:芯盾時代IAM依托移動安全核心技術(shù),將認證能力拓展到設(shè)備層面,提供應(yīng)用統(tǒng)一門戶、單點登錄、免密認證能力,支持傳統(tǒng)認證、移動認證、社交認證、生物認證、證書認證等技術(shù),在ABAC授權(quán)模式下提供多種二次認證方式,保證訪問控制策略的有效性和便捷性;3.統(tǒng)一審計管理:芯盾時代IAM利用零信任模型、流式計算技術(shù)、規(guī)則引擎技術(shù),實現(xiàn)對管理員操作行為、用戶登錄認證行為、用戶應(yīng)用訪問行為的風險審計與動態(tài)訪問控制功能。 有了芯盾時代IAM,老板再也不用擔心公司的訪問權(quán)限管理,企業(yè)業(yè)務(wù)更加安全、員工操作更加便利、運維工作更加簡單。

審核編輯 :李倩

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 核心技術(shù)
    +關(guān)注

    關(guān)注

    4

    文章

    625

    瀏覽量

    20142
  • ACL
    ACL
    +關(guān)注

    關(guān)注

    0

    文章

    61

    瀏覽量

    12385
  • 芯盾時代
    +關(guān)注

    關(guān)注

    0

    文章

    268

    瀏覽量

    2068

原文標題:IAM中的“權(quán)限管理”丨ACL、RBAC、ABAC三大權(quán)限管理模型,到底怎么選?

文章出處:【微信號:trusfort,微信公眾號:芯盾時代】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

收藏 人收藏
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

    評論

    相關(guān)推薦
    熱點推薦

    云知聲四篇論文入選自然語言處理頂會ACL 2025

    近日,第63屆國際計算語言學年會ACL 2025(Annual Meeting of the Association for Computational Linguistics,簡稱ACL)論文接收
    的頭像 發(fā)表于 05-26 14:15 ?410次閱讀
    云知聲四篇論文入選自然語言處理頂會<b class='flag-5'>ACL</b> 2025

    Linux權(quán)限管理基礎(chǔ)入門

    在Linux的廣闊天空中,權(quán)限管理猶如一只翱翔的雄鷹,掌控著系統(tǒng)的安全與秩序。掌握Linux權(quán)限,不僅能讓你的系統(tǒng)管理更加得心應(yīng)手,還能有效防止未授權(quán)訪問和數(shù)據(jù)泄露。本文將帶你深入探索
    的頭像 發(fā)表于 05-06 13:44 ?209次閱讀
    Linux<b class='flag-5'>權(quán)限</b><b class='flag-5'>管理</b>基礎(chǔ)入門

    EM儲能網(wǎng)關(guān)、ZWS智慧儲能云應(yīng)用(12) — 賬號和權(quán)限管理

    儲能系統(tǒng)涉及設(shè)備運維方、能源業(yè)主、服務(wù)商等多方參與,若采用單一管理員賬號共享模式,容易導致操作無法追溯、越權(quán)訪問等。ZWS智慧儲能云構(gòu)建了API-菜單-資源分離模式的權(quán)限管控,實現(xiàn)用戶精細化
    的頭像 發(fā)表于 04-30 18:24 ?177次閱讀
    EM儲能網(wǎng)關(guān)、ZWS智慧儲能云應(yīng)用(12) — 賬號和<b class='flag-5'>權(quán)限</b><b class='flag-5'>管理</b>

    Linux權(quán)限管理解析

    權(quán)限指的是某一個用戶針對某一個文件的權(quán)限(root超級管理員擁有全部權(quán)限)
    的頭像 發(fā)表于 04-09 10:06 ?263次閱讀
    Linux<b class='flag-5'>權(quán)限</b><b class='flag-5'>管理</b>解析

    低功耗藍牙和經(jīng)典藍牙,到底怎么?

    和Bluetooth Smart兩者又有什么區(qū)別?我的應(yīng)用到底經(jīng)典藍牙技術(shù)還是低功耗藍牙技術(shù)?這是很多剛接觸藍牙技術(shù)的人經(jīng)常碰到的問題。 首先,在2010年以前,當我們談?wù)撍{牙的時候,就是在說經(jīng)典藍牙,因為
    的頭像 發(fā)表于 04-07 16:01 ?562次閱讀
    低功耗藍牙和經(jīng)典藍牙,<b class='flag-5'>到底</b>怎么<b class='flag-5'>選</b>?

    在線監(jiān)測管理系統(tǒng)的智能化功能詳解 多角色權(quán)限與多項目管理 多終端適配

    在線監(jiān)測管理系統(tǒng)的智能化功能詳解 多角色權(quán)限與多項目管理 多終端適配 在線監(jiān)測管理系統(tǒng)采用基于BS架構(gòu)設(shè)計,用戶可通過瀏覽器實現(xiàn)項目管理、數(shù)
    的頭像 發(fā)表于 03-19 17:18 ?315次閱讀

    設(shè)備管理系統(tǒng)新范式:區(qū)塊鏈存證+動態(tài)權(quán)限管理

    企業(yè)面對數(shù)字化轉(zhuǎn)型挑戰(zhàn),設(shè)備管理面臨安全與靈活性問題。傳統(tǒng)設(shè)備管理方案漏洞頻出,數(shù)據(jù)易遭篡改,權(quán)限管理僵化。企業(yè)需構(gòu)建區(qū)塊鏈存證+動態(tài)權(quán)限
    的頭像 發(fā)表于 03-13 10:41 ?427次閱讀
    設(shè)備<b class='flag-5'>管理</b>系統(tǒng)新范式:區(qū)塊鏈存證+動態(tài)<b class='flag-5'>權(quán)限</b><b class='flag-5'>管理</b>

    語言模型管理的作用

    要充分發(fā)揮語言模型的潛力,有效的語言模型管理非常重要。以下,是對語言模型管理作用的分析,由AI部落小編整理。
    的頭像 發(fā)表于 01-02 11:06 ?357次閱讀

    linux權(quán)限管理詳解

    權(quán)限:在計算機系統(tǒng)中,權(quán)限是指某個計算機用戶具有使用軟件資源的權(quán)利。
    的頭像 發(fā)表于 12-25 09:43 ?538次閱讀

    搞懂Linux權(quán)限管理,提升系統(tǒng)安全性與穩(wěn)定性

    linux安全上下文與特殊權(quán)限 5. 文件系統(tǒng)訪問控制列表facl 6. sudo 7. 管理命令 1.權(quán)限簡介 文件的權(quán)限主要針對類對
    的頭像 發(fā)表于 11-22 10:31 ?606次閱讀
    搞懂Linux<b class='flag-5'>權(quán)限</b><b class='flag-5'>管理</b>,提升系統(tǒng)安全性與穩(wěn)定性

    華納云:設(shè)置RBAC權(quán)限的方法

    設(shè)置 RBAC(基于角色的訪問控制) 權(quán)限通常涉及以下幾個步驟: 1. 定義角色: ? ?確定組織中不同的角色,這些角色應(yīng)該反映組織結(jié)構(gòu)和工作職責。例如,管理員、用戶、審計員、經(jīng)理等。 2. 分配
    的頭像 發(fā)表于 11-11 16:20 ?556次閱讀

    Linux用戶身份與進程權(quán)限詳解

    在學習 Linux 系統(tǒng)權(quán)限相關(guān)的主題時,我們首先關(guān)注的基本都是文件的 ugo 權(quán)限。ugo 權(quán)限信息是文件的屬性,它指明了用戶與文件之間的關(guān)系。但是真正操作文件的卻是進程,也就是說用戶所擁有的文件
    的頭像 發(fā)表于 10-23 11:41 ?724次閱讀
    Linux用戶身份與進程<b class='flag-5'>權(quán)限</b>詳解

    美國高防服務(wù)器到底怎么

    美國高防服務(wù)器因其強大的硬件設(shè)施、高度的網(wǎng)絡(luò)連接性、豐富的帶寬資源和先進的防御技術(shù)而受到全球用戶的歡迎。以下是選擇美國高防服務(wù)器時需要考慮的關(guān)鍵因素,rak部落為您整理發(fā)布美國高防服務(wù)器到底怎么。
    的頭像 發(fā)表于 08-22 09:31 ?457次閱讀

    鴻蒙開發(fā)Ability Kit程序訪問控制:向用戶申請單次授權(quán)

    受限開放的權(quán)限通常是不允許方應(yīng)用申請的。當應(yīng)用在申請權(quán)限來訪問必要的資源時,發(fā)現(xiàn)部分權(quán)限的等級比應(yīng)用APL等級高,開發(fā)者可以選擇通過ACL
    的頭像 發(fā)表于 07-02 17:48 ?809次閱讀
    鴻蒙開發(fā)Ability Kit程序訪問控制:向用戶申請單次授權(quán)

    鴻蒙開發(fā)Ability Kit程序訪問控制:申請使用受限權(quán)限

    受限開放的權(quán)限通常是不允許方應(yīng)用申請的。當應(yīng)用在申請權(quán)限來訪問必要的資源時,發(fā)現(xiàn)部分權(quán)限的等級比應(yīng)用APL等級高,開發(fā)者可以選擇通過ACL
    的頭像 發(fā)表于 07-02 17:34 ?793次閱讀
    鴻蒙開發(fā)Ability Kit程序訪問控制:申請使用受限<b class='flag-5'>權(quán)限</b>