访问控制的基础知识以及哪种更适合云服务

图片来源：

Opensource.com

随着企业数据迁移到云端的趋势日益高涨，关于保护和保障企业数据的最佳方法也引发了激烈的讨论。但在我们深入探讨各种访问控制框架的细节之前，让我们首先了解企业在开始将其数据迁移到云端时所面临的广泛挑战。首要问题是云服务和第三方提供商提供的各种存储、分析或计算服务。换句话说，当企业决定将其数据迁移到云端时，需要决定将其数据存储在哪种类型的存储库中。

每家云公司都提供许多不同的数据存储服务，并且在数据迁移到云端后，还有十几种不同的服务可用于分析数据。此外，还有云原生第三方服务，允许数据科学平台和数据仓库作为领先的公有云基础设施的一部分运行。这些服务中的每一种都提供了一种独特的机制，用于管理数据消费者（例如组织中的数据分析师和科学家）对数据的访问。

如果您认为这听起来很像基于 Hadoop 的数据湖，那么您是对的。毋庸置疑，这给管理员带来了非常沉重的负担，他们必须在组织内广泛提供数据，并同时遵守隐私和行业法规，例如《加州消费者隐私法案》(CCPA)、《通用数据保护条例》(GDPR) 和《健康保险流通与责任法案》(HIPAA)。

两种流行方法的基础知识：RBAC 与 ABAC

自计算机系统问世以来，访问控制机制一直是企业 IT 环境的一部分，控制数据访问主要有两个关键方面。第一个方面是验证用户身份，并确定个人或系统是否确实是他们声称的身份。第二个方面是确保用户具有访问数据系统的适当权限，这个过程称为授权。这些原则也适用于存储在云端的数据。如今，基于角色的访问控制 (RBAC) 和基于属性的访问控制 (ABAC) 是企业中管理数据访问的两种最流行的方法。这些方法的目的是帮助定义和实施策略和权限，以授予授权用户访问所需数据的权限。

RBAC 基于组织中用户、角色、组和权限的概念。管理员将特权或权限授予预定义的组织角色——这些角色根据主题或用户的职责或专业领域分配给他们。例如，与被分配为分析师角色的用户相比，被分配为经理角色的用户可能有权访问不同的对象集和/或被授予对这些对象执行更广泛操作的权限。当用户生成访问数据对象的请求时，访问控制机制会评估分配给用户的角色以及该角色被授权对对象执行的操作集，然后决定是否授予或拒绝请求。

RBAC 简化了数据访问控制的管理，因为用户和角色等概念在大多数组织中都是易于理解的结构。除了基于熟悉的数据库概念外，RBAC 还为管理员提供了灵活性，可以将用户分配到各种角色，将用户从一个角色重新分配到另一个角色，并根据需要授予或撤销权限。一旦建立 RBAC 框架，管理员的角色主要是分配或撤销用户到特定角色。在 RBAC 中，一个用户可以被分配多个角色，一个角色可以有多个用户，一个角色/用户可以执行多个操作。

基于属性的访问控制的概念出现在 2000 年代初期。在 ABAC 出现之前，管理企业数据访问涉及到授予用户或主体对实体（在本例中为数据库、表或列）执行特定操作的权限。在 ABAC 中，授予访问权限或请求对对象执行操作的决定是基于主体、对象、环境条件以及一组特定于这些属性和条件的策略的指定属性。环境条件是独立于用户或对象的动态因素，可以包括主体的时间和位置等。正如主体或用户具有属性一样，对象（例如数据库、文件或表）也具有属性。对象属性可能包括作者、创建日期、版本、生效日期、上次更新日期等。

ABAC 的运作方式是为主题和对象分配属性，并制定管理数据访问规则的策略。信息系统中的每个组件都被分配了特定于对象的属性。例如，一个文件可以被归类为知识产权 (IP)。同样，系统中每个用户或主体都可以被分配属性，这些属性可能包括用户的位置和时区。基于这些属性，管理员可以构建一个访问策略，该策略指定任何被归类为 IP 的文档都不能被位于美国境外的用户访问，或者只能在太平洋标准时间上午 8:00 到下午 5:00 之间由隶属于公司法律部门的用户访问。您现在可以看到 ABAC 如何扩展角色、用户和权限的概念以包括属性。

ABAC 还为基础设施管理员提供了几个优势。例如，他们不需要了解需要访问数据的特定用户或主体。由一组策略控制的用户和对象属性的组合可以容纳无限数量的用户。当新用户添加到平台时，他们也可以受到同一组规则的约束。由于 ABAC 不需要管理员事先了解用户，因此这种方法更适合于经常在数据平台上添加和删除个人的环境。