角色長期以來一直統治著 IAM 世界,但隨著時間的推移,人們發現它們難以管理和擴展;屬性總是在那裡,但很難採用。基於策略的門禁控制 (PBAC)的時代已經到來,該標準結合了 RBAC 和 ABAC 的優點,同時提供了一種克服其缺點的方法。關於 PBAC,你需要了解的第一件事是,它不基於任何一種實現(例如 XACML),而是一種管理訪問決策和授權的方法,而不管技術實現如何。另一個重要的一點是,它能夠在現有 IAM 上擴展和建構,同時根據基於上下關聯的策略,提供門禁控制解決方案。
基於策略的門禁控制 (PBAC) 的主要特性
1. 技術靈活
PBAC 應該與消費應用程序無關。策略表達了業務含義,並且決策被提供給任何消費應用,無論其技術實現如何。例如,假設業務政策是:「交易者可以執行交易」。交易在交易系統中進行管理,即基於後端應用程序和基於 Web 的前端。必須以它理解的授權語言向所有層提供相同的訪問決策。相同的策略將處理 XACML請求/響應,或對後端應用的類似響應,以及 OAuth 令牌,允許訪問 Web 前端的執行功能。
2.它的建構塊是靈活的
ABAC 的難點在於你必須有屬性,但這說起來容易做起來難。在許多情況下,屬性既沒有組織也沒有那麼可用。PBAC 的建構塊是它依賴於做出訪問決策的資訊和數據等。屬性只是這些塊的一部分。PBAC 方法為其策略建構塊提供了一種靈活的解決方案,以允許使用任何現有數據作為決策制訂的一部分。
PBAC 支持預定義或配置的數據源,並實現身份和授權數據的靈活映射。作為採用階段的一部分,它還可以將個人分配的策略分配給身份,稍後可以將其轉換為以更易於管理的方式適應身份。
3. 支持組織的可擴展性
一次編寫,多次使用 —— 這是策略方法的座右銘。如果政策規定「用戶可以訪問他們的部門數據」,那麼 HR 可以繼續添加他們想要的部門,該政策仍然適用。政策的另一面,數據也是如此。一項聲明「經理可以更新他們的項目數據」的政策,無論是 10 個還是 100 個項目都沒有關係。組織可以根據需要添加更多層,策略仍將保持真實,並將相應地強制執行。
4. 被合規所喜愛
如果合規性法規要求你對授權進行認證和重新認證,請檢查你的組織在過去六個月中,進行的手動批准數量:數萬?可能更多…
相反,請考慮認證政策。政策可以將人工審批的數量減少 30% - 80%。此外,一個好的 PBAC 系統將顯示每個策略聲明適用的身份、操作和數據 - 從而提供合規人員所需的完整可見性。
閱讀博客:
使用 PBAC 保護你最寶貴的資產
5. 它需要分佈式勞動力和協作
越來越多的公司正在處理不同地理位置的協作,和員工以及遠端工作的員工。這意味著 IT 團隊對身份工作實踐的了解和控制較少。透過集中訪問控制和管理,PBAC 使 IT 能夠定義和規定門禁控制,無論員工身在何處、在哪個時區、在使用什麼設備等。
同樣,分佈式應用的數量也在增加,隨之而來的是管理這些應用的用戶身份的難度。PBAC 有助於整合、控制和簡化訪問權限,無論關鍵應用程序託管在傳統數據中心、私有雲、公有雲還是所有這些空間的混合組合中。
閱讀白皮書:
關於基於策略的訪問控制的 5 個誤區
了解更多關於 PBAC
如果你有興趣了解有關 PBAC 優勢的更多資訊,請務必閱讀我們之前 關於該主題的部落格。
沒有留言:
張貼留言