什么是动态授权，为什么它对弹性安全如此重要

西京刀客

已于 2022-01-22 23:11:59 修改

阅读量940

点赞数

分类专栏：安全相关文章标签：安全 PBAC 动态授权

于 2022-01-22 23:11:10 首次发布

原文链接：https://blog.plainid.com/what-is-dynamic-authorization-why-is-critical-for-security-resilience

版权

安全相关专栏收录该内容

60 篇文章

订阅专栏

本文探讨了动态授权在现代安全架构中的重要性，特别是在面对日益复杂的威胁环境时。文章对比了传统的基于角色的访问控制（RBAC）和更先进的基于策略的访问控制（PBAC），并阐述了PBAC如何通过实时评估用户权限来增强安全性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

文章目录

什么是动态授权，为什么它对弹性安全如此重要

什么是动态授权，为什么它对弹性安全如此重要

“安全团队应该做好准备，迎接一个令人不安、前所未有的年份，因为到2021年底，我们将看到400亿条记录被破坏。”(threatpost. com)

安全任务从未像现在这样紧迫。2020年，由于数据泄露而受损的记录数量增加了141% ，达到370亿。而且每一次破坏所造成的损失也在不断增加。根据 IBM 2021年的一份研究报告，去年一次数据泄露的平均成本从386万美元上升到424万美元，是该报告17年历史中的最高值。

这些漏洞的核心是未经授权访问网络、应用程序和系统的网络攻击，网络犯罪分子从组织中窃取数据。这些数据可以包括知识产权和财务记录，以及敏感、机密或个人客户和用户信息。

在努力规范谁可以查看和访问各种资源，并最终减轻财务和声誉损害的风险方面，各组织依赖访问控制解决方案。这些解决方案通常提供的服务包括集中身份验证、单点登录(SSO)和会话管理等。

虽然今天的大多数组织似乎都比较擅长访问控制中的身份验证部分，特别是随着多因素身份验证的不断扩散，但攻击的数量仍在增加，而且一直在增加。

善于认证是很重要的。但是，正如数字所显示的那样，仅仅身份验证并不能完成安全工作。仅仅通过身份验证是不能保证弹性的。

为什么认证是不够的

在访问控制组合中，身份验证(也称为 AuthN)的目标是验证试图访问数据、网络、系统或设备的用户的身份。

最常用于认证的因素是:

User ID and passwords 用户名和密码, which are the most common and most basic. ，这是最常见和最基本的
Two-factor and multifactor authentication 双因素和多因素身份验证, which require two or more factors, such as a biometric factor or a possession factor (i.e., a security token). ，需要两个或以上的系数，例如生物特征识别系数或管有系数(即保安令牌)
One-time pins 一次性别针, which provide one-time access. ，提供一次性接达服务
Biometrics 生物测定学, which grant access as based on an eye or fingerprint scan. ，根据眼睛或指纹扫描授予访问权限

虽然身份验证可以验证用户确实是他们所说的那个人，但这只是确保访问安全的第一步。

这就需要授权了。与 AuthN 命名法类似，授权也被称为 AuthZ。其中，这是一个通过授予(或撤销)用户对资源的权限(一旦他们的身份得到验证) ，将我们带到访问控制的最后阶段的过程。

验证之后，AuthZ 根据预定义的控件确定用户是否可以访问某些数据或执行某些操作，例如，用户是否有权创建、读取、编辑或删除文件、执行程序以及检索或更新数据库中的信息。

正如我们所看到的，没有授权环境不可能是真正安全的。当用户可以证明他们是谁时，我们还不安全。只有当我们知道他们能做什么，并阻止他们做他们不能或不应该做的事情时，我们才能完成访问控制的最后一英里。

授权挑战

“But inconsistent or weak authorization protocols can create security holes that need to be identified and plugged as quickly as possible.” (CSOonline)

“但是不一致或弱的授权协议可能会产生需要尽快识别和堵塞的安全漏洞。”(CSOonline)

正如我们所看到的，有效的访问控制必须同时包含健壮的身份验证和授权。

在制定授权策略时，考虑将应用什么类型的方法非常重要。典型的 AuthZ go-to 是由基于以角色为基础的存取控制的角色访问控制(RBAC)驱动的。这种方法基于组织功能或“角色”(如执行、工程、财务等)来规范对应用程序、服务和数据的访问。因此，RBAC 不是由单个用户的身份驱动的，而是由他们的角色驱动的。

通过 RBAC，用户只能访问他们有效履行职责所必需的信息。权限是根据职责、能力和权限等参数授予的，可能仅限于查看、创建或修改文件等特定任务。

乍一看，RBAC 方法似乎提供了一些好处，例如减少了管理工作和操作效率。看起来，你定义了自己的角色，你已经准备好了。

但不幸的是，事实并非如此。今天的数字企业是由复杂的环境驱动的，这种环境高度分布着数百个应用程序、许多系统、混合遗留系统和云化的、微型服务驱动的基础设施，以及数百个、有时甚至数千个角色，这些角色不断变化，需要根据每次变化创建一个新的访问场景。

It is impossible to keep track of ever-evolving assets and which user is receiving access to which resources and gain the requisite visibility into access risks.

不可能跟踪不断变化的资产以及哪些用户正在接触哪些资源并对接触风险获得必要的可见度。

最终，RBAC 是一种静态授权方法，试图在动态业务和 IT 环境中控制访问。

因此，基于角色的静态方法不再足够。

PBAC驱动的动态授权以及它如何帮助克服这一挑战

克服这一挑战的关键是实现动态授权，其中对资源(包括网络、应用程序、数据和任何其他资产)的授权和访问是实时动态授予的。

**使动态授权成为可能的是用基于策略的访问控制(PBAC)取代以角色为基础的存取控制。**使用此方法，角色与由逻辑规则组成的策略组合在一起，用于实时评估应该授予的权限和特权的级别。

因此，与纯粹由角色驱动、因此不是实时的、也不是动态方法的 RBAC 相反，PBAC 提供了一个必要的框架，用于根据在任意给定时间点可以了解的信息来评估用户可以或不可以访问的内容，包括:

User level attributes 用户级属性, such as what is their current certification level, role and responsibilities, whether they can access confidential and personally identifiable information (PII), as well as what they are accessing at any given moment. ，例如他们目前的认证级别、角色和职责，他们是否可以访问机密和个人身份信息，以及他们在任何特定时刻访问的内容
The location 地点 that a user is authenticating from, including whether from an internal or an external system. 用户进行身份验证的信息，包括来自内部或外部系统的身份验证
The number of authentication factors 认证因子的数目 being used, i.e., with single, two factor, or multifactor authentication. 使用，也就是说，使用单因素、双因素或多因素认证
The credentials 证书 being provided, whether basic, a certificate, a token, or other. 不论是基本的、证书、权标或其他
The time of day and day of the week 一天中的时间和一周中的某天 at which the user is authenticating. 用户正在进行身份验证

以角色为基础的访问控制与基于策略的访问控制对比

在这里插入图片描述
最终，使用 PBAC，数百甚至数千个角色可以被几个策略所取代。对于每个应用程序和系统，这些策略通过一个单一的窗格由组织集中管理。

使用集中管理，安全专业人员可以根据需要轻松地添加或更新策略，并快速部署策略。

由于这些策略是在受保护的应用程序之外进行外部管理的，所以 Gartner 将这种方法称为“外部化授权管理”

“Externalized authorization management (EAM) provides runtime controls — including policy management, policy enforcement, and decision modeling — for fine-grained authorization to infrastructure, applications, services, transactions and data. EAM is also sometimes referred to as “dynamic authorization.” EAM solutions usually offer a centralized policy server and can implement multiple authorization methodologies, including attribute-based/role-based access control (ABAC/RBAC).” 

“外部化授权管理(Externalized authorization management，EAM)为基础设施、应用程序、服务、事务和数据的细粒度授权提供运行时控制(包括策略管理、策略执行和决策建模)。EAM 有时也被称为“动态授权”EAM 解决方案通常提供一个集中的策略服务器，可以实现多种授权方法，包括基于属性的/以角色为基础的存取控制(ABAC/RBAC)。”

(Gartner, Hype Cycle for Application Security, 2021, July 2021, by Analyst(s): Joerg Fritsch).

(Gartner，Hype Cycle for Application Security，2021，July 2021，by Analyst (s) : Joerg Fritsch).