基于角色的访问控制 (RBAC) 使网络管理员能够根据用户在组织中的角色定制用户的访问级别,而基于规则的访问控制 (RuBAC) 允许访问取决于遵守特定条件的个人。例如,通过采用基于规则的预定义访问控制系统,系统管理员可以仅在标准工作时间内授予对特定网络资源的访问权限。
通常被称为基于属性的控制,RuBAC 根据设定的标准授予用户不同级别的系统访问权限,而不管他们在组织中的角色或职位。这一解释来自戴尔科技公司网络安全、身份和访问管理副总裁 Joe Dowling。
除了网络访问控制,RuBAC 还可以用于各种上下文,例如文件和目录访问控制或应用程序访问控制,高级解决方案架构师兼电信服务提供商 AlxTel 的 CTO Alaa Negeda 表示。他补充说,RuBAC 还可以与其他安全措施集成,例如防火墙、入侵检测系统和密码保护。
RuBAC 设置由根据用户在组织内的特定角色提供给用户的控制范围定义。分析软件供应商 SAS 的身份和访问管理全球负责人 Alexander Marquardt 指出,RuBAC 支持基于离散标准、条件或约束的访问控制。该方法是明确的、非常细化的,并且侧重于主体、客体或操作环境的个别属性或特征。
货运和物流服务提供商 XPO 的 CIO Jay Silberkleit 认为,RuBAC 是寻求提供最大定制和灵活性的网络访问方法的组织的最佳选择。他指出,可以在不修改组织结构的总体定义的情况下迅速更改规则。
Marquardt 观察到,粒度和清晰度是使用 RuBAC 的主要好处。检查规则时没有歧义,因为它明确允许或拒绝对特定对象或操作的访问。
增强的控制力和适应性也是许多组织选择 RuBAC 的原因。根据 Marquardt 的说法,基于规则的访问控制是需要坚定、明确规则的企业的理想模型。
RuBAC 以最小的开销为采用者提供了几乎无限的用户访问灵活性。正如 Silberkleit 解释的那样,可以调整一小组规则来促进庞大的用户群。该方法使各种网络访问级别能够在用户子集中进行测试或试验。他补充说,对访问进行如此精细的控制有助于组织保持敏捷和安全。
RuBAC 的主要缺点是建立、配置、设置和测试规则所需的监督和管理级别。随着用户角色的演变,公司还面临着确保权限保持准确和可靠的挑战。组织需要从设置和管理 RuBAC 的明确战略开始,Dell 的 Dowling 警告说。
Marquardt 指出,采纳者可能难以为广泛应用的规则编写单一主体或单一对象的例外情况,跟踪这些例外情况,并准确报告有效的权利和许可。
Druva 的首席技术传播者 W. Curtis Preston 认为 RuBAC 繁琐的设置过程和持续的维护职责是其主要缺点,尤其是在涉及多因素身份验证 (MFA) 的情况下。然而,他认为,根据目前对网络攻击和破坏的了解,为组织的安心和数据保护付出的代价很小。
Negeda 承认,自定义 RuBAC 规则可能具有挑战性。例如,可能需要定义特定角色所需的确切权限,或者可能需要指定与特定角色关联的用户名或组名。
Negeda 还提到扩展 RuBAC 可能很困难。为大量资源创建和维护规则可能是一项挑战,确定哪些用户或组应该有权访问哪些资源也是如此。
根据 Negeda 的说法,部署 RuBAC 的方法有很多种,其中使用数据库存储规则是最流行的策略。创建规则后,管理员可以轻松添加或更新它们。
为了最大程度地减少混乱和中断,Dowling 建议考虑向 RuBAC 过渡的组织首先分析其持续的业务需求和现有的网络访问分类系统,以确定基于规则或基于角色的访问是否是最合适的模型。如果 RuBAC 是您组织的理想选择,则应与系统的业务负责人进行全面面谈,以建立要遵循的最简单的规则集。
随着AppMaster等low-code和no-code开发平台的兴起,实施访问控制系统对于保护应用程序和数据变得更加重要。无论是基于角色、基于规则还是混合方法,为您的组织找到正确的访问控制方法将帮助您维护安全且功能正常的网络环境。
