应对“角色爆炸”，PBAC 真香！

基于角色的访问控制（RBAC）是一种根本上有缺陷的方法，用于管理组织中的用户身份和访问权限。RBAC 的固有弱点在于它的笨拙性，对手动输入的依赖以及对维护的持续需求。所有这些因素共同构成了风险高且漏洞百出的系统。

解决由 RBAC 引起的问题的方法是基于策略的访问控制系统（PBAC）。 美国国家标准与技术研究所（NIST）发表的一篇题为《访问控制模型调查》的论文称：“PBAC 是一种新兴的模型，旨在帮助企业解决基于抽象策略和治理要求实施具体访问控制的需要。”

可管理性

RBAC 的问题在于它不是一个自动的过程，这意味着需要手动对其进行管理。从本质上讲，角色是与授权对象的静态连接，因此，需要进行的任何更改（添加，删除和更新用户的访问权限）都必须由 IT 经理来完成。掌握谁应该访问哪些资源是一个复杂又令人困惑的过程。因此，当用户请求新权限时，IT 经理必须检查以确保允许该用户访问。危险在于，只要涉及“人为因素”，就很容易引入错误。

PBAC 的指导原则是，设置策略、用户配置文件和环境条件必须符合允许访问的标准。 由于 PBAC 支持运行时授权，因此它是动态的，并具有允许实时进行更改的能力。无需维护不断变化的用户角色的存储库，无需从特定组中添加或删除单个用户，也无需在公司的员工状态和职责发生变化时不断维护对资源的授权。由于 PBAC 是自动过程，因此可以减少与人工干预有关的风险。

可扩展性

随着公司规模的扩大，其身份管理系统也需要随之扩展。公司中的新产品，项目和部门必须添加越来越多的角色和越来越多的权限层。但是，很快就无法管理这些角色。您需要为每个项目以及这些项目中的资源定义角色，然后将其应用于相关人员。然后，您需要确保始终保持角色的相关性和最新性，并考虑到员工职责，新员工加入公司以及离职员工的变化。由于变动太多，难免会出现错误和遗漏。

应对角色爆炸现象可能是压倒性的。有时，会更容易忽略公司安全策略和行业标准，因为在 RBAC 环境中维护干净的身份管理系统需要花费大量时间和精力。

使用 PBAC 管理身份非常简单。访问资源或资源中的特定记录的授权是基于特定的属性进行调节的。PBAC 感兴趣的属性包括试图访问资源的用户（主题）、资源本身（对象）以及访问对象的时间和地点（环境）：

• 主题的属性可以包括其标题，证书或培训。

• 对象的属性可以包括其相关项目，包含的个人识别信息以及该信息的敏感性。

从整体上看，这些属性可用于设置允许访问数据和资源的策略要求。

在 PBAC 中，可伸缩性问题变得毫无意义，因为强制执行访问控制所需的操作数量已大大减少，而且都是自动化的。可以使用诸如“只有审计员可以查看与其分配的项目相关的敏感数据”之类的指示来设置策略，该策略在处理大量用户和自动符合策略的数据存储方面易于应用和管理。

访问蠕变

在日益复杂的系统中，随着时间的推移，逐渐积累起来的登录、密码和其他安全功能层，常常被安全性疲乏的 IT 部门有意绕过。为了防止这种“访问蠕变”，即员工在组织中具有不同的角色和访问级别，公司必须启用自动应用的策略。这样可以确保分配正确的访问策略，并且永远不会绕过它，因为 PBAC 策略会自动应用于每个用户。

PBAC 支持环境条件作为访问策略的一部分，这是 RBAC 所缺乏的。例如，该策略可能会将高度敏感的文件限制为只能在公司网络内的台式计算机上查看。此外，RBAC 要求 IT 经理删除每个角色的权限—仅删除用户是不够的。对于 PBAC 系统而言，这不是必需的，因此 IT 管理员无需花费时间来删除这些权限。PBAC 还消除了 IT 经理完全忽略该流程的风险，因为它是一项耗时且用户不友好的任务。

风险与合规

RBAC 本身就很复杂，因此 RBAC 环境中的角色爆炸问题成为一个严重的安全和管理问题。稳健的 PBAC 方法可保护您的组织免受多种类型的风险，并帮助您轻松遵守政府要求。

PBAC 方法还使您轻松满足身份管理的治理，风险管理和合规性（GRC）要求，包括隔离数据，访问管理，防止未授权用户访问敏感数据，控制访问蠕变以及防止授权用户以危险的方式访问敏感数据。

结论

维护一个 RBAC 系统来管理用户授权和访问是不可持续的，这种手动过程无法扩展。另一方面，PBAC 系统利用 RBAC 的优势，并在此基础上创建了一个高级范例，该范例使用策略和自动过程来管理成长中的公司的身份和访问权限。

文章来源：

https://blog.plainid.com/role-explosion-policy-based-access-control-rescue

关于我们

「龙归科技」 是一个专注于低代码赋能企业级信息化服务提供商。核心创始人团队来自绿盟安全、红帽开源操作系统、知名游戏玩蟹科技、知名开源社区等专家共同创立。

「龙归科技」 致力于让中国每一个企业拥有专属的自动化办公操作系统，助力企业或政府拥抱 （Cloud Native First）云原生优先战略，帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施！从而实现 「数字化转型」 及 「软件行业工业化生产」 ！

主打产品：ArkOS 方舟操作系统：一个企业级办公自动化操作系统 ，结合自研低代码应用开发平台，构建产业生态，专注为各类企业与组织机构打造一体化全栈云原生平台。系统自带应用包括：ArkID 统一身份认证，ArkIDE，ArkPlatform，App Store 等产品。截至目前，公司已经获得 15 个 软件著作权、2 个发明专利，并与 2020 年 11 月份，获得北京海淀区中关村国家高新技术企业认定。

相关链接：

官网：<https://www.longguikeji.com/>

文档：<https://docs.arkid.longguikeji.com/>

开源代码仓库地址：

<https://github.com/longguikeji>

<https://gitee.com/longguikeji>

历史文章

1. 登录的轮子，你还在造？
   

2. 企业级单点登录——信息化体系建设基础
   

3. 远程办公，你准备好了吗？
   

4. 企业信息化，怎样才算数？
   

5. 龙归科技 | 对未来的若干猜测
   

6. 龙归科技 | 企业办公自动化的未来
   

7. 龙归科技 | 软件的成本下降