PBAC 与 RBAC: 基于角色的访问控制为何不够
PBAC 与 RBAC: 基于角色的访问控制为何不够
授权---- 决定谁可以访问什么的过程---- 自20世纪80年代以来一直在稳步发展。今天,灵活、动态的基于策略的访问控制平台有助于保护不断增加的数据量,以抵御不断变化的网络威胁。
授权的演变
基于角色的访问控制(RBAC) :
RBAC 于1992年引入,以解决计算机安全方面的不足。RBAC 为每个组织功能创建角色,赋予每个角色访问特定资源的权限,并将用户与角色联系起来。
角色提供了 ACL 所缺乏的 RBAC 灵活性。对角色权限的更改会自动更新具有该角色的每个用户的权限。如果用户改变了他们的角色,他们的权限也会随之改变。
但 RBAC 仍有许多缺点,其中包括:
-
Coarse Grained and Static 粗粒度和静态: RBAC 仅根据用户的角色限制授权,忽略其他显著属性,如时间、位置或设备。它有固定的访问权限,没有临时变更的规定(例如: 一个部门的工人临时分配给另一个部门)
-
Role Explosion 角色爆发:
当前位置随着公司的扩张,定义了许多相似但略有不同的角色,通常有几千甚至几万个。可能很难说它们有什么不同,或者如何正确分配它们。此外,可能很难跟踪更改角色或离开的用户的角色,并且不需要的权限可能不会被撤销,从而产生安全风险以及遵从性和审计问题。
RBAC 不能在紧急情况下快速修改,不能根据时间和地点授予权限,而且用户可能会留下不必要的权限。这些问题造成了严重的安全问题,使得遵守 GDPR 和其他安全法规变得困难。
基于策略的访问控制(PBAC) :
PBAC 具有细粒度和粗粒度的灵活性: PBAC 支持环境和上下文控制,因此可以设置策略在特定时间和特定位置授予对资源的访问权,甚至评估身份和资源之间的关系。政策可以迅速调整,并设定给定的时间段(例如针对违约或其他紧急情况的响应)。可以轻松地添加、删除或修改用户组,并通过单击撤销过时的权限。
PBAC 可以用任何语言编码: PlainID 的 Policy Manager 有一个灵活的体系结构,因此你不仅可以用你公司偏好的语言编码,而且它还有一个易于使用的 GUI,用于快速编写、检查、测试和实现甚至是最复杂的访问策略。例如,XACML,一种标准化的基于属性的访问控制语言,需要特定的编码技能,不能被没有经验的程序员使用或理解。
PBAC 提供了透明性和可见性: 可视化身份和资源之间的关系是设置强大的访问管理策略的第一步。PBAC 为管理员提供了一个清晰的视图,以了解在所有组织资产中谁被授权做什么。它还提供全面和透明的能见度,以确保遵守公共卫生总局和其他有关条例。由于其众多的优势,PBAC 弥补了 RBAC 留下的安全漏洞,增强了您的网络安全,并提供了对数据和隐私法规遵从性的积极响应。
结束语:
“Companies that haven’t solved for access control are not only putting themselves at risk – they are also suboptimizing every dollar of their cybersecurity spend.”- Richard Bird, Forbes Technology Council
“那些没有解决访问控制问题的公司不仅让自己处于风险之中,他们还在对网络安全的每一美元支出进行次优化。”- Richard Bird,福布斯科技委员会
RBAC has dominated access control since the 1990’s, but it doesn’t suit the needs of today’s fast paced, diverse, cloud-based environments.
RBAC 自20世纪90年代以来一直主导着访问控制,但它并不适合当今快节奏、多样化、基于云的环境的需求。
PBAC vs RBAC: Why Role Based Access Control is not Enough PBAC 与 RBAC: 基于角色的访问控制为何不够
Gal Helemski 女名女子名
February 23, 2020 2020年2月23日
Authorization, the process of determining who can access what, has been evolving steadily since the 1980s. Today, flexible, dynamic Policy Based Access Control platforms help secure an ever increasing volume of data against ever evolving cyber-threats.
授权---- 决定谁可以访问什么的过程---- 自20世纪80年代以来一直在稳步发展。今天,灵活、动态的基于策略的访问控制平台有助于保护不断增加的数据量,以抵御不断变化的网络威胁。
The Evolution of Authorization
授权的演变
Role Based Access Control (RBAC):
基于角色的访问控制(RBAC) :
RBAC was introduced in 1992, to address inadequacies in computer security. RBAC creates roles for every organizational functionality, giving each role permission to access certain resources, and linking users to roles.
RBAC 于1992年引入,以解决计算机安全方面的不足。RBAC 为每个组织功能创建角色,赋予每个角色访问特定资源的权限,并将用户与角色联系起来。
Roles give RBAC flexibility that ACL lacks. Changes to a role’s permissions automatically update permissions of each user with that role. If a user changes their role, their permissions change with them.
角色提供了 ACL 所缺乏的 RBAC 灵活性。对角色权限的更改会自动更新具有该角色的每个用户的权限。如果用户改变了他们的角色,他们的权限也会随之改变。
But RBAC still has many drawbacks, among them:
但 RBAC 仍有许多缺点,其中包括:
Coarse Grained and Static 粗粒度和静态: RBAC limits authorization based only on a user’s role, ignoring other salient attributes, such as time, location, or device. It has fixed access rights, with no provision for temporary changes (e.g.: a worker in one department temporarily assigned to another). RBAC 仅根据用户的角色限制授权,忽略其他显著属性,如时间、位置或设备。它有固定的访问权限,没有临时变更的规定(例如: 一个部门的工人临时分配给另一个部门)
Role Explosion 角色爆发: As companies expand, many similar but slightly different roles are defined, often by the thousands or tens of thousands. It may be hard to tell how they differ, or how to assign them correctly. Also, it may be hard to track roles of users who change roles or leave, and unneeded permissions may not be revoked, creating a security risk and also compliance and audit issues. 当前位置随着公司的扩张,定义了许多相似但略有不同的角色,通常有几千甚至几万个。可能很难说它们有什么不同,或者如何正确分配它们。此外,可能很难跟踪更改角色或离开的用户的角色,并且不需要的权限可能不会被撤销,从而产生安全风险以及遵从性和审计问题
RBAC can’t be amended quickly in emergencies, can’t grant permissions based on time or location, and users may be left with unnecessary permissions. These problems create serious security issues, making compliance with GDPR and other security regulations difficult.
RBAC 不能在紧急情况下快速修改,不能根据时间和地点授予权限,而且用户可能会留下不必要的权限。这些问题造成了严重的安全问题,使得遵守 GDPR 和其他安全法规变得困难。
Policy Based Access Control (PBAC):
基于策略的访问控制(PBAC) :
PBAC has the flexibility to be Fine Grained or Coarse Grained: PBAC supports environmental and contextual controls, so policies can be set to grant access to resources at certain times and from certain locations and even evaluate relationships between identities and resources. Policies can be adjusted quickly, and set for given periods of time (for example in response to a breach or other emergency). Groups of users can be added, removed, or amended with ease and obsolete permissions revoked with a click.
PBAC 具有细粒度和粗粒度的灵活性: PBAC 支持环境和上下文控制,因此可以设置策略在特定时间和特定位置授予对资源的访问权,甚至评估身份和资源之间的关系。政策可以迅速调整,并设定给定的时间段(例如针对违约或其他紧急情况的响应)。可以轻松地添加、删除或修改用户组,并通过单击撤销过时的权限。
PBAC can be coded in any language: PlainID’s Policy Manager has a flexible architecture so you can not only code in the language your company prefers, but it also has an easy to use GUI, for quick writing, reviewing, testing and implementing of even the most complex access policies. For example, XACML, a standardized Attribute Based Access Control language, requires specific coding skills and can’t be used or understood by people who aren’t experienced programmers.
PBAC 可以用任何语言编码: PlainID 的 Policy Manager 有一个灵活的体系结构,因此你不仅可以用你公司偏好的语言编码,而且它还有一个易于使用的 GUI,用于快速编写、检查、测试和实现甚至是最复杂的访问策略。例如,XACML,一种标准化的基于属性的访问控制语言,需要特定的编码技能,不能被没有经验的程序员使用或理解。
PBAC gives transparency and visibility: Visualising the relationship between the identities and the resources is the first step in setting a strong access management policy. PBAC gives administrators a clear view of who is authorized to do what, across all organizational assets. It also provides full and transparent visibility for compliance with GDPR and other relevant regulations. As a result of its many strengths, PBAC closes security gaps left by RBAC, enhances your cybersecurity and delivers a proactive response to Data and Privacy regulation compliance.
PBAC 提供了透明性和可见性: 可视化身份和资源之间的关系是设置强大的访问管理策略的第一步。PBAC 为管理员提供了一个清晰的视图,以了解在所有组织资产中谁被授权做什么。它还提供全面和透明的能见度,以确保遵守公共卫生总局和其他有关条例。由于其众多的优势,PBAC 弥补了 RBAC 留下的安全漏洞,增强了您的网络安全,并提供了对数据和隐私法规遵从性的积极响应。
To Wrap it Up:
结束语:
“Companies that haven’t solved for access control are not only putting themselves at risk – they are also suboptimizing every dollar of their cybersecurity spend.”- Richard Bird, Forbes Technology Council
“那些没有解决访问控制问题的公司不仅让自己处于风险之中,他们还在对网络安全的每一美元支出进行次优化。”- Richard Bird,福布斯科技委员会
RBAC has dominated access control since the 1990’s, but it doesn’t suit the needs of today’s fast paced, diverse, cloud-based environments.
RBAC 自20世纪90年代以来一直主导着访问控制,但它并不适合当今快节奏、多样化、基于云的环境的需求。
By contrast, PlainID’s PBAC platforms offer contextual, fine-grained access control, comprehensive lifecycle management, zero trust architecture, and total visibility, together with an easy to use GUI for writing and managing complex access policies, without code. PBAC offers a proactive approach to compliance and gives the best access control for cybersecurity needs. All this, without interrupting the workflow of legitimate users.
相比之下,PlainID 的 PBAC 平台提供了上下文相关的、细粒度的访问控制、全面的生命周期管理、零信任体系结构和完全可见性,以及一个用于编写和管理复杂访问策略的易于使用的 GUI,而不需要代码。PBAC 提供了一种积极主动的方法来遵守,并为网络安全需求提供了最佳的访问控制。所有这些,都不会中断合法用户的工作流。
Want to know more? Click here to get our whitepaper:
想知道更多吗? 点击这里阅读我们的白皮书:下载白皮书: PBAC vs RBAC: The Truth