Маршрут согласования
Узнать большеВ любой информационной системе требуется управление доступом для сохранения конфиденциальности данных и их целевого использования. Бесконтрольный доступ чреват утечкой важных данных, нарушением целостности информационных систем. На практике используется ряд моделей для управления доступом. Одна из них – модель на основе атрибутов (ABAC). У этого подхода есть свои сильные стороны и особенности применения. Рассмотрим их детально.
Что такое ABAC?
Речь идет про модель управления доступом, которая функционирует на основе использования атрибутов, то есть правил, связанных с объектом, субъектом, окружением и рассматриваемых в определенный момент времени. Проверка соответствия требованиям происходит на момент проверки прав, подвергается сравнению с известными значениями. Такая модель управления позволяет организовать мандатное и избирательное управление доступом. ABAC считается гибким решением ввиду множества возможных комбинаций вариантов для исполнения разных политик.
Аспекты управления доступом на основе атрибутов
Система ABAC использует механизм авторизации, который связан с выполнением комплекса мероприятий, направленных на оценку представленных атрибутов. Атрибуты могут затрагивать объект и субъект доступа, связанные с ними операции, окружение среды. В отличие от ролевой модели здесь часто используются сложные наборы правил, при проверке которых происходит оценка большого количества атрибутов. За счет определения согласованных атрибутов субъектов и объектов посредством политик ABAC модель упрощает процесс управления списками доступа, группами пользователей.
Атрибуты правомерно сравнивать со статическими величинами между собой. Управление доступом на основе атрибутов позволяет использовать политики контроля доступа, которые содержат конкретные атрибуты, позаимствованные из различных информационных систем. С их помощью происходит авторизация и достигается соответствие требованиям, гибкость внедрения модели в уже присутствующую инфраструктуру.
Используемые компоненты ABAC
Архитектура
-
PEP (Policy Enforcement Point) – точка принудительного исполнения политики. Обеспечивает защиту приложений, информации на которые распространяется управление доступом на основе атрибутов. Через PEP происходит проверка первичного запроса, генерируется запрос на авторизацию, выполняется его отправка на следующий уровень архитектуры.
-
PDP (Policy Decision Point) – точка принятия решений. Своего рода управляющий мозг, который производит оценку и сравнение поступивших запросов с установленными политиками. Возвращает принятое решение об отказе или разрешении доступа.
-
PIP (Policy Information Point) – точка соединения. Ответственна за соединение PDP с внешними источниками атрибутов, например, базами данных.
Атрибуты
-
Атрибуты субъектов. Указывают на пользователя, который пытается получить доступ. Это могут быть роль, должность в компании, идентификатор, имя и прочее.
-
Атрибуты объектов. Указывают на какой-то объект или ресурс, к которому требуется доступ. Например, тип объекта, его местоположение, размеры.
-
Атрибуты действия. Указывают на какое-то действие в отношении объектов. Например, чтение, редактирование, удаление, подтверждение.
-
Атрибуты окружения. Указывают на события и действия в окружающей среде. Например, время происходящих событий, место действия.
Политики
Это набор правил, который указывает на возможный исход при совершении тех или иных действий. Политики подразделяются на разрешающие и отклоняющие. Также они могут носить локальный или глобальный характер, управлять отдельными процессами или полным циклом доступа. Политики могут достраиваться и дополняться, поэтому позволяют создавать индивидуальную и гибкую модель доступа на собственном наборе правил.
Реализации ABAC
Для реализации модели Attribute-based access control на практике может использоваться стандарт XACML. Стандарт предлагает схему управления доступом, в которой присутствуют три основных компонента:
-
Правило. Включает такие позиции как цель, эффект, условия, обязательства, рекомендации. Правила носят запрещающий или разрешающий характер.
-
Политики. Объединяют вместе разные правила. Могут формировать единое бизнес-правило. Политики состоят из правил, цели, алгоритма комбинации правил, обязательств, рекомендаций. Результатом использования политик становится одно конкретное значение, например, разрешить или запретить.
-
Набор политик. Объединяют разные группы политик в единое целое, чтобы проводить быструю фильтрацию используя общее назначение, которое задается через цель. Набор политик включает цель, политики, алгоритм комбинации политик, обязательства, рекомендации.
Стандарт XACML превращает бизнес-правила в компоненты, которые становятся понятными для системы безопасности.
Сфера применения ABAC.
ABAC система, несмотря на проигрыш по популярности ролевой модели, встречается в IT-сфере и разнообразных бизнес-системах. Так, например, ее используют в крупных IT-компаниях, когда встает вопрос о проектировании персональных систем безопасности, где счет персонала идет на тысячи сотрудников, а количество привилегий в два-три раза больше количества персонала. С помощью ABAC становится возможным обеспечить достаточно большое число динамических запросов на доступ и реализовать интеграцию компонентов в единую управляемую систему.
В мировой практике примеры применения ABAC встречаются среди множества коммерческих организаций: банки, биржи, агентства. Также примеры использования Attribute-based access control не редкость и среди государственных структур: министерства финансов и экономики, инспекции, налоговые ведомства. Система ABAC нашла свое применение при работе с облачными сервисами и предоставлением услуг на уровне облачных инфраструктур при вычислительных процессах. Кроме вышеперечисленных сфер, атрибутная модель оправдана при защите Big Data, и включена в ряд известных фреймворков.
Управление доступом на основе атрибутов показывает широкое поле для применения и позволяет выйти за ограничения ролевых моделей, что бывает полезно при ведении бизнес-процессов. В качестве удобного решения для управления доступом в организации можно рассматривать Solar inRights.
Этот инструмент полезен для автоматического исполнения регламентов Identity Management, а также снижения рисков, которые возникают во время предоставления доступа и использования привилегированных прав. Помимо этого, Solar inRights повышает прозрачность управленческих процессов, делает их удобными, предсказуемыми.