Информационное письмо


Attribute-based access control (модель разграничения доступа на основе атрибутов)



бет32/78
Дата10.10.2022
өлшемі5,22 Mb.
#42177
түріПротокол
1   ...   28   29   30   31   32   33   34   35   ...   78
Байланысты:
ИБ и МЗИ УМКД 2022 (1)

Attribute-based access control (модель разграничения доступа на основе атрибутов)

  • Управление доступом на основе атрибутов

  • Субъекты и объекты наделяются атрибутами

  • Политики вычисляют условия, заданные через выражения атрибутов субъекта и объекта

  • Пример: Пользователь может подтвердить заказ, если подразделение пользователя равно подразделению, в котором создан заказ, и должность субъекта – менеджер

Основное отличие этого подхода в том, что каждая ситуация оценивается не с точки зрения роли пользователя и действия, которое он хочет совершить, а с точки зрения атрибутов, которые к ним относятся.
Бизнес-правило представляет собой набор условий, в которых различные атрибуты должны удовлетворять предъявляемым к ним требованиям.
Можно явно выделить несколько категорий атрибутов:



Рис. 10. Несколько категорий атрибутов

Для выполнения авторизации значения всех атрибутов берутся в момент проверки прав и сравниваются с ожидаемыми значениями. Выполнение всех условий обеспечивает доступ к ресурсу.


Простые правила описываются простыми условиями.



Рис. 11. Пример простых бизнес правил

Многомерные правила в этой модели не становятся более сложными





Рис. 12. Пример многомерных бизнес правил

ABAC позволяет избежать проблем, которые появляются в RBAC:



  • бизнес-правило не «размазывается» по системе, что делает его понимание и поддержку достаточно простыми;

  • не происходит взрывного роста числа условий, что упрощает их сопровождение.

  • ABAC позволяет решить проблемы, которые невозможно решить с помощью RBAC, поскольку в этом подходе нет ограничений на сложность бизнес-правил. Бизнес-правила любой сложности, в том числе с использованием заранее неизвестных атрибутов, не создают новых проблем и просты в сопровождении.

Представление бизнес-правила в виде набора условий удобно использовать для фильтрации данных. Часть условий можно вычислить еще до обращения к ресурсу, а оставшиеся условия становятся фильтром для выбора данных.



Рис. 13. Пример бизнес правил с применением фильтра

Первые три условия можно проверить еще до обращения к данным. А последнее условие можно использовать в качестве предиката для получения только разрешенных данных.



Таблица 1. Сравнение ABAC и RBAC

Как видно из сравнения, RBAC хорошо подходит только для реализации простых бизнес-правил. С увеличением сложности правил целесообразность использования RBAC уменьшается из-за растущей стоимости поддержки системы контроля доступа, а начиная с определенного уровня сложности правил этот подход вообще не дает результата.


ABAC, в свою очередь, не ограничивает сложность бизнес-правил. Благодаря более понятному бизнесу и компактному выражению этот подход позволяет не увеличивать стоимость поддержки при реализации более сложных правил, а также дает возможность обеспечивать контроль доступа не только к действиям, но и к данным.




Достарыңызбен бөлісу:
1   ...   28   29   30   31   32   33   34   35   ...   78




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет