基于规则的访问控制 (RuBAC):定义和最佳实践

基于规则的访问控制

访问控制是允许个人访问公司的计算机、网络和数据资源的技术、策略和策略的集合。 RBAC(也称为 RuBAC)根据规则允许或限制访问,确保可以访问公司计算基础设施的人能够准确访问他们需要的资源,不多也不少。
如果这看起来有点模糊,那是因为这个概念很广泛。 本指南将解释基于规则的访问控制 RBAC 的概念以及企业何时可以使用它来保护自己。

什么是基于规则的访问控制(RBAC 或 RuBAC)?

顾名思义,基于规则的访问控制 RBAC 是一个基于预定义条件的系统,用于授予或拒绝各种用户的访问权限。

大多数时候,这些规则是基于个人用户的特征。 这也称为基于属性的访问控制 (ABAC)。

规则也可以基于其他上下文值。 与先前操作相关的因素,例如,特定工作流中对象的当前阶段。 您甚至可以根据系统变量(例如当前时间或服务器负载)创建规则。

这种类型的访问控制需要根据用户的现有属性配置不同的条件。 然后这些用于自动为个人分配权限。

然后系统使用布尔逻辑来确定每个条件是真还是假,并分配权限或移动到下一个嵌套条件。

可以围绕多个属性组合或仅一个属性组合构建规则。 例如,一个非常简单的基于规则的系统在确定权限时可能只考虑用户的当前位置。

在更复杂的系统中,您可能会考虑他们的部门、服务年限、当前设备或除其位置之外的任何其他属性或环境因素。

基于规则的访问控制 RBAC 如何发挥作用?

IT 部门根据某人尝试在 RBAC 下获得访问权限的具体内容、方式、地点和时间来建立高级规则。 每个资源都与一个访问控制列表或 ACL 相关联。 当有人尝试使用给定资源时,操作系统会检查 ACL 以查看该尝试是否遵循访问该资源的所有规则。

RBAC 的“规则”组件是指对何时、如何以及在何处授予访问权限的约束。 这里有几个例子:

  • 网络上的每个人都有一个 IP 地址,网络用它来识别位置。 一条规则可能是,只有 IP 地址在特定地理范围内的人,例如会计团队工作的地区,才能使用公司会计系统。 它可以得到更精细的控制,例如允许特定地址的人访问应付账款而不是应收账款。
  • 允许和限制可以链接到充当特定网络门的端口。 只有在适当端口上的请求才会被视为潜在有效。 例如,一个端口可以链接到一个接受远程位置文件上传的设施。 在这种情况下,上传到网络的另一个区域的请求可能会被拒绝。
  • 某些类型的访问可能仅限于特定时间,例如在标准工作时间内。 没有人能够在这些时隙之外访问那些计算资源。 时间限制有助于在安全专家较少且处于警戒状态的非工作时间将犯罪分子排除在系统之外。
另请参阅: 基于角色的访问控制 RBAC:定义、历史和示例
  • 需要访问敏感记录的人可能会获得额外的凭据,他们必须在以后的所有访问尝试中使用这些凭据。 或者,他们可能会限制他们在一周内可以使用特定资源的次数,或者他们可能会有超时,因此许可只是暂时的。
  • 尽管 RBAC 可用于允许访问,但它也可用于阻止访问,无论是在业务基础架构内还是对外部资源的访问。 例如,公司可能不希望任何员工在工作时间使用视频流应用程序,或者它可能会阻止所有电子邮件(不太可能,但用户可以梦想)。

要记住的主要事情是 RBAC 管理访问上下文。 虽然重点是公司员工,但同样的概念也适用于为客户或业务合作伙伴提供对某些资源的受控访问的公司。

提示: 基于规则的访问控制 RBAC 对于具有多个角色和不同专业水平的大型组织至关重要。 出于安全和效率的原因,系统的某些方面应该禁止任何不需要它来完成工作的人使用。

基于规则的访问控制 RBAC 的优势

对于企业而言,基于规则的访问控制 RBAC 具有许多优势:

  • 您可以通过标准化和控制资源访问的上下文来更好地规范法律合规性问题。
  • RBAC 通过强制执行必要的资源使用限制来提高安全性。 这会使外部犯罪分子更难攻击您公司的计算基础设施。
  • 设计合理的 RBAC 系统不仅可以提高安全性,还可以规范网络使用。 您可以将资源密集型流程和软件的使用限制在需求较低的日子和时间。 例如,您可以安排复杂的管理报告或营销分析仅在有足够处理能力的半夜运行。
  • RBAC 可以在不涉及 IT 或支持人员的情况下自动应用必要的限制。 无需您的 IT 人员手动跟踪使用情况并记住稍后撤消权限,您可以在异常情况下自动更改并在有限的时间内设置额外的权限。
  • 您可以根据需要尽可能详细地控制访问权限,而不是向太多人提供过于广泛的访问权限。
  • 只有管​​理员有权更改规则,减少出错的可能性。

基于规则的访问控制 RBAC 的缺点

RBAC 和其他所有东西一样,也有局限性。

  • 配置多个级别的详细规则需要时间,并且需要 IT 人员进行一些初步工作。 您还需要某种持续监控,以确保规则正常运行并且不会过时。
  • 您的员工可能会发现访问控制系统既麻烦又不方便。 当需要在常规模式之外工作时,您或其他管理员将需要修改规则或提供解决方法。
  • 当您的 IT 人员必须针对不寻常的情况重新编写特定规则然后将其切换回来时,定期更改的需求可能会成为一种负担。
  • 由于依赖规则,RBAC 不考虑资源、人员、运营以及运营或基础设施的其他方面之间的特定关系。 如果没有额外的控制机制,规则的必要结构可能会变得极其复杂。

基于规则的访问控制系统可以根据您公司的需要提供重要的附加安全性。 但是,它本身可能还不够。 您的公司还需要专业知识来设置和维护规则,以及根据需要调整或更改它们。

基于规则和基于角色的访问控制有什么区别?

员工访问级别不是由基于规则的访问控制决定的,这些访问控制本质上是预防性的。 相反,他们致力于防止未经授权的访问。 基于角色的模型是主动的,因为它们为员工提供了一组条件,在这些条件下他们可以获得授权访问。

访问控制的规则是什么?

域、对象类型、生命周期状态和参与者都由访问控制规则分配给一组权限。 访问控制规则指定用户、组、角色或组织访问域内特定类型和状态的对象的权限。

实施基于规则的访问控制

在实施基于规则的访问控制和考虑基于规则的控制最佳实践时,需要采取几个重要步骤:

  • 检查当前的访问规则—— 检查适用于特定接入点的规则和适用于所有接入点的一般规则。 确定任何缺乏特定访问规则的高风险区域。 由于安全漏洞不断变化和演变,因此应定期进行。
  • 分析“假设”情景—— 识别可能需要应用额外规则来降低风险的潜在场景。
  • 根据评估更新或创建规则。 设置新规则或更新现有规则以提高安全级别。
  • 避免权限冲突 通过将规则与其他访问控制模型设置的权限进行比较,以确保不存在会错误地拒绝访问的冲突。
  • 记录和发布规则——发布最重要的规则并传达任何更改,以确保所有员工了解他们的访问权限和责任。 虽然员工可能不需要知道具体细节,但他们了解政策变化可能如何影响他们的日常运营至关重要。
  • 进行定期审查—— 定期进行系统审核,以识别任何访问问题或安全漏洞。 检查因访问控制不严导致的任何安全问题,并在必要时修改规则。

基于规则与基于角色的访问控制

安全管理员配置和管理这两种模型。 员工不能更改他们的权限或控制访问,因为它们是强制性的而不是可选的。 但是,基于规则和基于角色的访问控制之间存在一些显着差异,可以帮助确定哪种模型最适合给定的用例。

操作

  • 基于规则的模型定义适用于所有工作角色的规则。
  • 基于角色的模型中的权限基于特定的工作角色。

宗旨

  • 员工访问级别不是由基于规则的访问控制决定的,这些访问控制本质上是预防性的。 相反,他们致力于防止未经授权的访问。
  • 基于角色的模型是主动的,因为它们为员工提供了一组条件,在这些条件下他们可以获得授权访问。

应用

  • 基于规则的模型是通用的,因为它们适用于所有员工,无论其角色如何。
  • 基于角色的模型根据员工的角色以个人为基础适用于员工。

案例研究

基于角色的模型适用于明确定义角色并且可以根据这些角色识别资源和访问要求的组织。 因此,RBAC 模型适用于拥有大量员工的组织,其中为单个员工设置权限既困难又耗时。

基于规则的操作系统在员工较少或角色不稳定的组织中运行良好,因此很难分配“严格”的权限。 基于规则的操作系统对于具有多个需要最高安全级别的领域的组织来说也是必不可少的。 基于角色的模型本身可能无法提供足够的保护,尤其是当每个角色涵盖不同级别的资历和访问要求时。

混合模型

基于规则和基于角色的访问控制模型是互补的,因为它们采用不同的方法来实现最大化保护的相同目标。 基于角色的系统确保只有授权员工才能访问受限区域或资源。 基于规则的系统确保授权员工能够在正确的地点和正确的时间访问资源。

一些组织认为这两种模式都没有提供必要的安全级别。 为了应对不同的场景,安全管理员可以使用混合模型,通过基于角色的系统提供高级保护,并通过基于规则的模型提供灵活的细粒度控制。

管理员可以通过基于角色的模型在入口大厅等安全要求较低的区域向所有员工授予访问权限,但添加一个基于规则的例外,拒绝在工作时间之外访问。

管理员可以将权限分配给更高安全区域中的特定角色,但使用基于规则的系统来排除角色中仅处于初级级别的员工。

像这样的混合模型结合了两种模型的优点,同时改善了整体安全状况。

简化门禁控制管理

  • 可以使用用户角色、属性和自定义规则轻松安全地配置权限。
  • 安排对所有门、大门、旋转栅门和电梯的访问。
  • 远程解锁任何门或激活建筑物锁定
  • 使用非接触式 Wave to Unlock,您只需为每个条目提供一个移动凭据。
  • 适用于高安全区域,内置生物识别、MFA 和视频验证
  • 使用基于云的远程访问控制软件,您可以随时更改访问权限。

基于角色和基于规则的访问控制与基于属性的访问控制

基于角色的系统中的安全管理员根据员工在业务中的角色授予或拒绝对空间或资源的访问权限。

管理员根据一组批准的属性或特征来控制基于属性的系统中的访问。 尽管员工的角色可能是他们的属性之一,但他们的个人资料通常包括其他特征,例如项目团队、工作组或部门的成员资格,以及管理级别、安全许可和其他标准。

因为管理员只需要定义少量的角色,基于角色的系统实现起来更快更容易。 基于属性的系统的管理员必须定义和管理多个特征。

另一方面,使用多个特征在某些用例中可能是有利的,因为它允许管理员应用更精细的控制形式。

基于属性与基于规则的访问控制

基于规则的系统中的管理员根据一组预定规则授予或拒绝访问。

相比之下,基于属性的访问控制 (ABAC) 模型在授予访问权限之前评估一组已批准的属性或特征。 管理员可以根据各种接入点或资源的特定安全要求创建一组多样化的特征。 这两种类型的主要区别在于用于授予或拒绝访问的信息和操作。 属性通常仍与员工的个人信息相关联,例如他们的团队、工作状态或许可。 规则中经常提到工作时间、门时间表、设备和其他类似标准。

这两种模型都支持精细的访问控制,这对于具有特定安全要求的组织来说是有利的。 基于规则和基于属性的模型都可以与其他模型相结合,例如基于角色的访问控制。 因为管理员必须定义多个规则或属性,所以这两种模型的实施和管理都非常耗时。 另一方面,规则和属性随着时间的推移提供更大的可扩展性。

结论

确定谁有权访问企业内特定区域或资源的两个最重要的模型是基于规则和角色的访问控制。 安全管理员可以在高级别管理访问或应用细化规则,通过实施最合适的模型为高安全区域提供特定保护。

基于规则和角色的访问控制使企业能够以真正定制的方式使用其安全技术。 通过确定谁可以访问企业内的特定区域和资源,公司可以实施最佳模型并在高级别管理访问,并应用细化规则为高安全区域提供更强大的保护。

虽然这两种模型都提供了有效的安全性和显着优势,但开发、实施和管理访问安全策略所需的工作量却各不相同。 作为额外的奖励,基于规则和基于角色的模型相互补充,可以串联使用以提供更高的访问控制安全性。

参考资料

发表评论

您的电邮地址不会被公开。 必填带 *

你也许也喜欢