本文介绍了从RBAC到ABAC的数据权限设计的演变
这篇文章概述了数据权限从RBAC到ABAC的发展历史
概要
名词的解释
3358 www.Sina.com//accesscontrollist http://www.Sina.com//role-basedaccesscontrol 3358 www.Sina.com/: atributrion ABAC现在是组织的标准模型,以便员工只能在适当的情况下获取所需的信息。
以制造业为例,就是物联网数据中心。 制造商为了提高生产率正在收集物联网设备的数据。 通过收集工厂现场出现的不合格数据点,制造商可以缓解制造过程中的潜在问题,防止有缺陷的产品到达客户手中。 但是,这些都是公司不想向竞争对手发布的专有信息,只有参与制造过程的特定人员才需要这些信息。
所有组织都需要现代的数据访问控制模式来安全地共享和使用数据,以治疗患者、改进制造流程以及跨行业的各种用途。 在讨论现代访问控制之前,我们需要先看看访问控制是如何发展到现在的。
数据权限的发展历史随着时代的发展,各组织需要保护的信息量迅速增加。 如果以前需要保护的数据较少,访问控制模式很简单。
以前,数据访问控制可以分为三个阶段。 首先,有ACL。 这是一种早期的数字访问控制格式,允许根据用户id访问数据。 最终,组织要求加强数据保护,RBAC
角色允许管理员将用户分配给不同的组并授予特定访问权限。 角色通常基于职务、位置和头衔,以便用户访问信息。 由于角色的简单性,开发人员在执行内部APP应用程序访问检查时可以使用各种编码技术,便于参考。 RBAC运行良好,组织和APP应用程序不断增长,数据量翻了一番,对数据、微服务和API的保护需求不断提高。
此图为仅针对三个用户的“角色爆炸”示例。 下图的作用是拥有1万名员工的企业。
随着这一指数增长,无法管理所需的角色数量,角色爆发和角色分离(SoD )失败。 最后,引入了一种称为ABAC的新的更动态的访问控制格式。
从RBAC到ABAC从RBAC到ABAC,数据访问控制的发展
在数字时代,数据访问控制最好采用ABAC模型。 与RBAC模型不同,ABAC可以使用用户属性、操作属性、上下文属性(例如时间、设备、位置)、资源属性(例如记录的机密性)等。 实际上,可以使用各种属性(数据)来表示用户、资源和上下文。 这使ABAC多维化,几乎可以支持所有访问控制场景。
看看战略吧
ABAC提供了多维访问控制系统,通过使用属性和策略,可以防止角色爆炸、提高可扩展性、建立关系、消除SoD冲突、将许可证外部化,以及简化管理和控制。
这在医疗场景中意味着什么?基于上述策略,授权决策过程(即用户是否应该被授予资源访问权限)是评估整个上下文的动态决策过程。
此场景的属性来自多个源。 有些是从APP应用程序发送的。 这些属性通常是与用户和环境相关的属性,如用户标识符、验证强度(保修级别)、资源标识符(病历#123 )和操作(查看、编辑等)。 这些重要属性触发策略并评估规则。
批准引擎现在收集完成决策过程所需的属性。 这些属性值既来自病历#123本身,也来自其他来源。 这可能包括从最终用户的保险单中收集数据、验证同意书、委托和检查保险代理人的合同有效性。 在作出认可决定之前,所有这些方面都将得到考虑。
除了使用属性轻松拒绝或允许访问数据外,ABAC还使用数据掩码保护重要信息,并允许共享和使用信息。 它通过隐藏或完全隐藏敏感数据项(如医院患者的保险单号码和临床试验参与者的姓名)来实现敏感数据的隐藏。
数据访问控制已发展成为满足企业在无限数据时代面临的数据保护挑战。 随着ACL和RBAC的发展,ABAC现在已成为组织的标准模型,以便员工只能在适当的情况下访问所需的信息。
本文总结了数据权限设计从RBAC到ABAC的演进