细粒度授权在安全领域的重要性

最新推荐文章于 2023-07-24 14:45:51 发布
最新推荐文章于 2023-07-24 14:45:51 发布
阅读量264 收藏
点赞数
文章标签: 安全 业务分析
原文链接:https://blog.plainid.com/the-importance-of-fine-grained-authorization-for-secure-content
版权

细粒度授权在安全领域的重要性

身份和访问管理(IAM)解决方案的授权方法各不相同,首选方法通常是基于角色的访问控制(RBAC)。它 涉及定义公司所需的角色,为每个角色指定权限,然后将用户与角色进行匹配。RBAC虽然逻辑上是合理的,但也有一些局限性。 首先,每当公司添加资源时,都必须为每个角色定义该资源的访问权限,这使得RBAC难以维护。其次,公司经常创建许多非常详细的角色,每个角色的不同之处在于对一个或两个资源的访问权限不同,这也使问题变得更加复杂。由于涉及大量技术细节,因此在使用RBAC的公司中它负责授权。这使得管理层在执行重要的业务决策时依赖于IT。

最后,尽管RBAC解决方案很详细,但它们是静态且粗粒度的,忽略了诸如时间或位置等因素。越来越多的公司支持通过智能手机和云进行访问,Avi Chesla等专家指出:“如今,网络访问必须是动态且流畅的,并支持基于身份和基于应用程序的用例。”

超越RBAC:ABAC和PBAC

基于属性的访问控制(ABAC)超越了RBAC,解决了它的许多局限性。ABAC使用细粒度的访问控制,考虑到许多用户属性,包括请求的位置或时间来确定访问权限。

ABAC解决方案通常使用布尔逻辑。这使ABAC解决方案无需使用角色即可有效地定义访问策略。例如,公司可以定义一个名为“Management”的组,并且仅允许其成员访问某些文件。使用RBAC,这将需要为每个角色编码有关这些文件的访问规则。两种方法之间的维护差异很大。此外,ABAC不使用角色,避免了“角色爆炸”。但是,在需要管理的角色数量减少的情况下,需要管理的规则数量成反比(规则爆炸) 。

基于策略的访问控制(Policy-Based Access Control,PBAC)结合了RBAC和ABAC的优势,又向前迈进了一步。 与RBAC一样,它也有角色,但是它们只是设置策略的一个因素,并且不需要像RBAC系统中那样对每个资源都具有特定的权限。这简化了授权策略的创建和维护。

像ABAC一样,PBAC使用逻辑来定义策略。PBAC策略可以在运行时进行更改或实施,使其成为最灵活的解决方案。使用图形用户界面,管理人员可以通过量身定制的管理工作流程与其策略进行交互,而不必依赖于IT。因此,PBAC不仅简化了授权,而且将IAM策略制定权转交给了管理者。

使用案例

当公司希望在特定情况下(例如B2B授权或使用公司门户)允许第三方访问某些资源时,PBAC尤其有用。

  • B2B授权:一家公司可能希望让一个或多个其他公司使用某些服务或数据。例如,ABC制药公司希望让不同医院的医生和其他人员查看某些数据。通过使用PBAC,ABC可以为每组医院人员定义一个角色,并授权每个人员访问特定的数据。
  • 公司门户的使用:具有门户的公司(例如,供应商门户,合作伙伴门户)需要将多种类型的内容共享给多个用户。例如,国防承包商可以使用PBAC来管理访问权限。这将允许不同的供应商或客户根据其授权来出售或购买不同的产品。PBAC是按日期或时间定义门户访问权限的理想选择。例如,可以定时访问门户网站上的新闻稿以支持产品发布。时间到了,访问将自动授予授权的用户和来宾。如果需要,时间可以随时更改。

在所有用例中,访问策略都是业务功能,而不是IT任务。PBAC使负责管理的人员可以根据利益相关者的数据,通过用户界面来构建策略。然后对该策略进行测试和部署。当前可用的软件使得无需编写任何代码即可设计和实施完整的授权解决方案。此类软件使业务风险和控制所有者能够确保访问控制遵循规定的业务策略和法规。

细粒度的访问控制适合企业领导者的需要

细粒度的访问控制使企业领导者可以快速设计和实施授权计划。PBAC解决方案的灵活性及其简单性,使其成为当今瞬息万变的商业环境的理想之选。PBAC使管理层能够确保授权策略遵循业务逻辑,而不会占用时间和资源。

PBAC还可以安全有效地允许授权的非员工(例如供应商)访问公司网络或数据库。这些功能结合在一起,使PBAC成为控制访问公司资源的最佳和最可持续的解决方案,使企业能够专注于更重要的事情,并利用与业务合作伙伴更大的互联性和协作带来的共享数据和资源的优势,而不会增加数据泄露的风险。

本文翻译自Gal Helemski 所撰 《The Importance of Fine-Grained Authorization for Secure Content》一文。

原文链接: https://blog.plainid.com/the-importance-of-fine-grained-authorization-for-secure-content

关于我们


「龙归科技」 是一个专注于低代码赋能企业级信息化服务提供商。核心创始人团队来自绿盟安全、红帽开源操作系统、知名游戏玩蟹科技、知名开源社区等专家共同创立。

「龙归科技」 致力于让中国每一个企业拥有专属的自动化办公操作系统,助力企业或政府拥抱 (Cloud Native First)云原生优先战略,帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施!从而实现 「数字化转型」「软件行业工业化生产」

主打产品:ArkOS方舟操作系统:一个企业级办公自动化操作系统 ,结合自研低代码应用开发平台,构建产业生态,专注为各类企业与组织机构打造一体化全栈云原生平台。系统自带应用包括:ArkID 统一身份认证,ArkIDE,ArkPlatform,App Store 等产品。截至目前,公司已经获得 15个 软件著作权、2个发明专利,并与2020年11月份,获得北京海淀区中关村国家高新技术企业认定。

相关链接:

官网:https://www.longguikeji.com/

文档:https://docs.arkid.longguikeji.com/

开源代码仓库地址:

https://github.com/longguikeji

https://gitee.com/longguikeji

历史文章

  1. 登录的轮子,你还在造?
  2. 企业级单点登录——信息化体系建设基础
  3. 远程办公,你准备好了吗?
  4. 企业信息化,怎样才算数?
  5. 龙归科技 | 对未来的若干猜测
  6. 龙归科技 | 企业办公自动化的未来
  7. 龙归科技 | 软件的成本下降
龙归CEO
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PBAC相对于传统ABAC的优势
vagerdwely的博客
03-15 2525
厌倦了为数百个用户、管理数千个角色的IAM经理和架构师,需要一种更好的方式来控制对企业的访问。传统的基于角色的访问控制方法有很多弱点,遗留用户太多,并且容易受到“角色爆炸”的影响。需要新的方法,允许特定用户在特定时间访问特定内容。 通常考虑的第一种解决方案是基于属性的访问控制(ABAC)。ABAC是一种细粒度的访问管理方法,其中,基于已分配给用户,操作,资源或环境的已定义规则,决定批准或拒绝对特定信息的访问请求。 例如,在银行的日常工作时间内,当从分支机构的IP地址提供客户的身份证和他们的帐号时,银行出纳
【程序设计】权限管理
一杯柠檬茶。
09-10 861
文章目录权限模型授权的演进使用属性来调节访问使用PBAC简化访问控制和智能化权限设置以自动化应对永恒的挑战ACLRBACABAC主要组成部分使用属性动态计算出决策结果应用场景PBAC权限模型的选择总结ABACRBAC基于组的访问 vs. 基于资源的访问 权限模型 ACL Access Control List(访问控制列表) RBAC Role-Based Access Control(基于角色的权限访问控制) ABAC Attribute-Based Access Control(基于属性的权限访问控制
什么是基于角色的访问控制 (RBAC)?示例、好处等
allway2的博客
09-21 9515
根据 Research Triangle Institute 为 NIST 提供的 2010 年报告,RBAC 减少了员工停机时间,改进了供应,并提供了高效的访问控制策略管理。RBAC 提供了细粒度的控制,提供了一种简单、可管理的访问管理方法,与单独分配权限相比,这种方法更不容易出错。在组织内部,可以为不同的角色提供写访问权限,而其他角色可能只提供查看权限。如果它们被删除,访问将受到限制。在这些角色中的每一个中,可能有一个管理层和一个单独的贡献者层,它们在授予每个角色的各个应用程序内具有不同级别的权限。
浅聊权限模型
最新发布
zhangkaixuan456的博客
07-24 766
权限相关术语英文名称中文名称描述Subject主体通常是用户或用户组Object对象权限所作用的对象,通常指各类资源Action操作对Object的操作,如:创建、删除、查询、修改等Effect结果/效力规则匹配后的限制操作,如:Allow/ DenyCondition限制条件权限生效的条件Permission权限用来指代是否允许某人在某种条件下对某种资源做某种操作Role角色权限集合,包含一个或多个权限(Permission)Policy策略。
PBAC 与 RBAC: 基于角色的访问控制为何不够
西京刀客
01-01 3599
文章目录PBAC 与 RBAC: 基于角色的访问控制为何不够授权的演变基于角色的访问控制(RBAC) :基于策略的访问控制(PBAC) :结束语: PBAC 与 RBAC: 基于角色的访问控制为何不够 授权---- 决定谁可以访问什么的过程---- 自20世纪80年代以来一直在稳步发展。今天,灵活、动态的基于策略的访问控制平台有助于保护不断增加的数据量,以抵御不断变化的网络威胁。 授权的演变 基于角色的访问控制(RBAC) : RBAC 于1992年引入,以解决计算机安全方面的不足。RBAC 为每个组织功能
云环境中细粒度的数据安全共享方案.docx
02-23
综上所述,云环境中的细粒度数据安全共享方案通过创新的密钥管理和网络结构设计,成功解决了无线传感器网络在安全性和资源效率上的难题。该方案可以为其他类似网络环境提供借鉴,有助于推动无线传感器网络在各种应用...
一种卷烟营销数据细粒度血缘安全分析方法.docx
02-23
最后,通过实验验证,该方法在执行血缘查询和验证时,效率分别达到1023毫秒和970毫秒,证明了其在提供高效、安全细粒度数据血缘分析服务方面的有效性。 在卷烟营销系统中,这种分析方法有助于提升数据管理的透明...
电力物联网场景下基于零信任的分布式数据库细粒度访问控制.pdf
09-09
在电力物联网场景下,基于零信任的分布式数据库细粒度访问控制是当前网络安全领域的重要议题。随着物联网技术的发展,电力系统越来越依赖于网络连接,这同时也带来了数据安全和隐私保护的巨大挑战。在这种背景下,...
【2018hit计算机系统安全】实验二:细粒度权限管理及实现root能力的分发和管理
01-24
在计算机系统安全领域,权限管理是一项重要的技术措施,用于控制用户对于系统资源的访问级别。其中,细粒度权限管理和root能力的有效管理是确保系统安全性的关键。本实验旨在通过实践操作加深对这些概念的理解,并...
零信任安全性入门.pdf
04-18
这涉及到多因素认证、动态授权细粒度的权限管理,以限制未经授权的访问。 2. 身份管理:强化用户和设备的身份验证过程,包括持续的用户行为分析和动态的访问决策。 3. 数据保护:通过加密、数据屏蔽和实时监控来...
权限控制之粗粒度与细粒度概念及实现简单介绍
08-29
主要介绍了权限控制之粗粒度与细粒度概念及实现简单介绍,具有一定参考价值,需要的朋友可以了解下。
基于策略的访问控制(PBAC): 5个关键特性
西京刀客
01-09 3111
基于策略的访问控制(PBAC): 5个关键特性 Roles have ruled the IAM world for a long time, yet over time were found to be hard to manage and scale; attributes were always out there, but were difficult to adopt. The time has come for Policy Based Access Control (PBAC), a sta
粗粒度与细粒度权限控制
weixin_30678349的博客
09-11 791
1.1 什么是粗粒度和细粒度权限 粗粒度权限管理,对资源类型的权限管理。资源类型比如:菜单、url连接、用户添加页面、用户信息、类方法、页面中按钮。。 粗粒度权限管理比如:超级管理员可以访问户添加页面、用户信息等全部页面。 部门管理员可以访问用户信息页面包括 页面中所有按钮。 细粒度权限管理,对资源实例的权限管理。资源实例就资源类型的具体化,比如:用户id为001的修改连接...
JeeSite4.x 数据权限
05-30
免费试听地址:B站搜索JeeGit观看《JeeSite4.x数据权限教程》、《JeeSite1.2.7系列基础教程》、《JeeSite4.x系列基础教程》等相关课程! 郑重声明:购课前,请认真听完第一章 课程简介 建议实战人群直接听:第九章、第十章 学生人群、刚入门:全听       数据权限主要讲解内容包含第一章 课程简介31.1 课程目标31.2 适用人群31.3 课程简介31.4 环境要求31.5 课程知识点大全31.6 课程售价31.7 购课声明31.8 资源清单31.9 售后方式41.10 讲师介绍4第二章 权限基础42.1 权限模型概述4第三章 JeeSite权限管理模型123.1 JeeSite1.2.7 权限管理模型123.2 JeeSite4.x 权限管理模型123.3 JeeSite4.x权限设计的扩展13第四章 用户管理144.1 JeeSite4.x内置用户类型144.1.1 用户管理思路144.1.2 网站会员、员工、单位、个人登录视图配置154.2 用户数据权限类型164.3实战训练、调试、日志查看16第五章 机构管理16第六章 角色管理186.1 JeeSite4.x角色管理概述186.2 JeeSite4.x越级授权与菜单权重186.3 JeeSite4.x 越级授权可能存在的隐患极其解决方案196.4用户表如何区分非管理员、系统管理员、二级管理员206.5 角色权限注意事项206.6 角色授权数据范围使用注意事项216.7 为何用户不设置员工权限无效?236.8 岗位管理与角色分类的岗位分类与角色分类有何区别?23第七章 二级管理员23第八章 系统管理员238.1 系统管理员238.2 总结:何时使用超级管理员、系统管理员、二级管理员?23第九章 Jeesite数据权限调用239.1 JeeSite4.x数据调用基础239.2 JeeSite4.x 实现数据列权限推荐解决方案249.3多数源模式下数据权限bug简易解决方案249.4 JeeSite4.x 自定义扩展数据权限249.5支持全球地区、全球企业、全球机构、全球部门授权24第十章 JeeSite数据权限实战2410.1 案例一2410.2 案例二2410.3 案例三2510.4 案例四2510.5 案例五25第十一章 JeeSite4.x常见问题解答251.1数据权限管理的代码会公开吗,购买了能看吗?251.2 JeeSite数据权限教程是Thinkgem录制的吗?25第十二章 参考阅读2612.1、JeeSite官方文档2712.2、美国国家标准与技术研究院2712.3、中国国家标准化管理委员会2712.4、ITSEC欧洲安全评价标准2812.5、百度学术2812.6、开源框架2912.6.1 JeeSite2912.6.2 Casbin2912.6.3 Eladmin2912.6.4 Spring-boot-demo2912.6.5 Jeeplatform3012.6.6 Pig3012.6.7 Jeecg-boot3012.6.8 Jfinal3012.6.9 Guns3112.6.10 Zheng3112.6.11 Cloud-Platform3112.7 博文资源31
访问控制基础(DAC,MAC,RBAC,ABAC,BLP)
qq_36735125的博客
04-05 3901
访问控制基础,包含对DAC,MAC,RBAC,ABAC,BLP的简要介绍。
什么是账号授权细粒度授权
weixin_45873963的博客
11-02 998
什么是账号授权细粒度授权 什么是账号授权 "IDaaS端的用户"与"应用端的账号"之间的绑定关系,即一个IDaaS用户,在不同的应用系统中有哪些应用账号,这是个1:n的关系。 账号授权就是确定用户可以通过相应的账号来访问特定的资源。赋予某个用户可以访问某个应用权限的过程是账号授权的动作;某个用户使用某个账号访问应用的这个表现是账号授权的效果。 什么是细粒度授权 细粒度授权也叫数据范围授权,即不同的用户所拥有的操作权限相同,但是能够操作的数据范围是不一样的。 ...
授权实现的流程,粗粒度和细粒度权限
91奔跑的蜗牛
05-28 2799
(1)、什么是粗颗粒和细颗粒权限? 对资源类型的管理称为粗颗粒度权限控制,即只控制到菜单、按钮、方法,粗粒度的例子比如:用户具有用 户管理的权限,具有导出订单明细的权限。对资源实例的控制称为细颗粒度权限管理,即控制到数据级别的权限, 比如:用户只允许修改本部门的员工信息,用户只允许导出自己创建的订单明细。 总结: 粗颗粒权限:针对 url 链接的控制。 细颗粒权限:针对数据级别的控制。 比如:查询...
聊聊认证服务之细粒度授权
亚索@哈塞给
05-13 397
细粒度授权(说白了,权限相同处理业务逻辑获取的数据不一样) 什么是细粒度授权?(大白话,操作权限相同,操作的数据范围不一样) 细粒度授权也叫数据范围授权,即不同的用户所拥有的操作权限相同,但是能够操作的数据范围是不一样的。一个 例子:用户A和用户B都是教学机构,他们都拥有“我的课程”权限,但是两个用户所查询到的数据是不一样的。 本项目有哪些细粒度授权? 比如: 我的课程,教学机构只允许查询本教学机构下的课程信息。 我的选课,学生只允许查询自己所选课。 如何实现细粒度授权细粒度授权涉及到不同的
Kubernetes中的角色访问控制机制(RBAC)支持
Kubernetes中文社区
05-25 7447
原标题: RBAC Support in Kubernetes Kubernetes 中的 RBAC 支持 PS:在Kubernetes1.6版本中新增角色访问控制机制(Role-Based Access,RBAC)让集群管理员可以针对特定使用者或服务账号的角色,进行更精确的资源访问控制。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值