Control de acceso basado en el atributo

De este artículo fuentes enumeradas no puede ser confiable. Por favor a este artículo buscando los mejores y más confiables fuentes. Citas fiables pueden ser desafiadas o eliminadas. (Diciembre de 2016) (Aprender cómo y cuándo quitar este mensaje de plantilla)

Control de acceso basado en el atributo (ABAC) define un control de acceso paradigma por el que se conceden los derechos de acceso a usuarios mediante el uso de políticas de que combinan atributos. Las políticas pueden usar cualquier tipo de atributos (atributos de usuario, atributos de recursos, objetos, atributos de entorno etc..). Es compatible con este modelo Lógica boleana, en las reglas que contienen "IF, ENTONCES" declaraciones sobre quién está haciendo la petición, el recurso y la acción. Por ejemplo: SI el solicitante es un administrador, ENTONCES permita que acceso de lectura/escritura a los datos sensibles.^[1]

A diferencia de Control de acceso basado en roles (RBAC), que emplea a roles predefinidos que llevan un conjunto específico de privilegios de asociados con ellos y a que asignaturas se asignan, la diferencia clave con ABAC es el concepto de las políticas que expresan un conjunto de reglas booleanas complejas que puede evaluar muchos atributos diferentes.^[2] Valores de atributo pueden ser valorado por el conjunto o valores atómicos. Atributos valorados en conjunto contienen más de un valor atómico. Los ejemplos son papel y proyecto. Atributos con valores atómicos contienen solamente un valor atómico. Los ejemplos son espacio libre y sensibilidad. Atributos pueden ser comparados con estática valores o, lo que permite control de acceso basado en la relación.

Aunque el concepto sí mismo existió durante muchos años, se considera ABAC^[3] "next generation" autorización de modelo ya que proporciona control de acceso dinámico, sensible al contexto y riesgo inteligente a recursos que permite el acceso las políticas de control que incluyen atributos específicos de muchos diferentes sistemas de información definido para resolver la autorización y a lograr un cumplimiento eficaz, permitiendo flexibilidad de las empresas en sus implementaciones basadas en sus infraestructuras existentes.

Atributo-basado Control de acceso se refiere a veces como política de Control de acceso basado en (PBAC) o reclamaciones basado en Access Control (CBAC),^[4] que es un término específico de Microsoft. ^[5]

Componentes

Arquitectura

ABAC viene con una arquitectura recomendada que es la siguiente:

1. El PEP o punto de aplicación de la política: es responsable de proteger las aplicaciones y datos, desea aplicar ABAC a. El PEP examina la solicitud y genera una solicitud de autorización que envía a lo PDP.
2. El PDP o el punto de decisión política es el cerebro de la arquitectura. Esta es la pieza que evalúa las peticiones entrantes contra las políticas que se ha configurado con. El PDP devuelve un permiso / negar la decisión. El PDP también puede usar puntos para recuperar metadatos falta
3. El punto de información política o PIP puentes el PDP a fuentes externas de atributos por ejemplo LDAP o bases de datos.

Atributos

Atributos pueden ser sobre cualquier cosa y cualquier persona. Tienden a caer en 4 diferentes categorías o funciones (como en función gramatical)

1. Sujeto de atributos: los atributos que describen el usuario que intenta el acceso por ejemplo, edad, espacio, Departamento, función, profesión...
2. Atributos de acción: atributos que describen la acción que se intentó por ejemplo leer, borrar, ver, aprobar...
3. Recursos (u objeto) atributos: atributos que describen el objeto de ser accesible por ejemplo el tipo de objeto (medical record, cuenta bancaria...), el Departamento, la clasificación o sensibilidad, la ubicación...
4. Contextual (medio ambiente) atributos: atributos que con el tiempo, ubicación o los aspectos dinámicos de la situación de control de acceso^[6]

Políticas de

Las políticas son declaraciones que reúnen atributos para expresar lo que puede suceder y no está permitido. Políticas en ABAC pueden conceder o negar las políticas. Las políticas también pueden ser locales o globales y pueden ser escritas de manera que antepone a otras políticas. Los ejemplos incluyen:

1. El usuario puede ver un documento si el documento es en el mismo departamento como el usuario
2. Un usuario puede editar un documento si es propietario y si el documento está en modo borrador
3. Denegar el acceso antes de 9:00

Con ABAC pueden tener tantas políticas como que se adaptan a muchos escenarios y tecnologías.^[7]

Otros modelos

Históricamente, los modelos de control de acceso han incluido (control de acceso obligatorioMAC), control de acceso discrecional ()DAC), y control de acceso más recientemente basado en funciones ()RBAC). Estos modelos de control de acceso están centrados en el usuario y no toman en cuenta parámetros adicionales como información de los recursos, relación entre el usuario (la entidad solicitante) y los recursos, información dinámica por ejemplo, tiempo de día o usuario IP. ABAC intenta abordarlo mediante la definición de control de acceso basado en atributos que describen la entidad solicitante (el usuario), el objeto destino o recurso, la acción deseada (ver, editar, borrar...) e información contextual o ambiental. Por esta razón control de acceso se dice que es basada en atributos.

Implementaciones de

Es un estándar que implementa el control de acceso basado en atributo y políticas XACML, el eXtensible Access Control Markup Language. XACML define una arquitectura, un lenguaje de la política y una solicitud / esquema de respuesta. No maneja gestión atributo (asignación de atributos de usuario, asignación de atributo del objeto, ambiente atributo asignación) que es tradicional IAM herramientas, datatabases y directorios.

Aplicaciones

API y seguridad de servicios Micro

ABAC puede utilizarse para la autorización basada en atributos, de grano fino se aplica a las funciones o métodos de API. Por ejemplo, una API de banca puede exponer un método de approveTransaction(transId). ABAC puede utilizarse para garantizar la llamada. Con ABAC, un autor de política puede escribir lo siguiente:

- Política: los administradores pueden aprobar transacciones hasta su límite de aprobación - Atributos utilizados: objeto de papel, acción ID, tipo, cantidad, límite de aprobación.

El flujo es como sigue:

1. El usuario, Alice, llama a la API método approveTransaction(123)
2. El API recibe la llamada y autentica al usuario.
3. Un interceptor de la API llama al motor de autorización (normalmente llamado punto de decisión política o PDP) y le pregunta: ¿Alicia apruebe transacción 123?
4. El PDP recupera la política ABAC y atributos necesarios.
5. El PDP alcanza una decisión por ejemplo, permitir o denegar y regresa al interceptor de API
6. Si la decisión es permiso, se llama la lógica de negocio subyacente API. De lo contrario la API devuelve un error o acceso denegado.

Seguridad de aplicaciones

Una de las ventajas clave de ABAC es que las políticas de autorización y los atributos pueden definirse en una tecnología de manera neutral. Esto significa que las políticas definidas para el API o bases de datos pueden ser reutilizadas en el espacio de aplicación. Aplicaciones comunes que se pueden beneficiar de ABAC son:

1. sistemas de gestión de contenidos
2. ERPs
3. usos caseros
4. aplicaciones Web

El mismo proceso y flujo como el descrito en la sección API se aplica aquí también.

Base de datos seguridad

Seguridad centrada en la información de bases de datos ha sido específica a los proveedores de base de datos: Oracle VPD, FGAC IBM y Microsoft RLS son todos los medios para lograr la seguridad de ABAC-como grano fino.

Uso de ABAC, es posible definir políticas centradas en los datos que se aplican a través de múltiples bases de datos. Esto se llama enmascaramiento de datos dinámicos.

Un ejemplo sería:

-Política: los administradores pueden ver las transacciones en su región - política reelaborada de manera centrada en datos: los usuarios con rol == Gerente puede hacer la acción == SELECCIÓN en mesa == TRANSACCIONES si user.region == transaction.region

Seguridad de datos grandes

Control de acceso basado en atributo puede aplicarse también a los sistemas de datos grandes como Hadoop. Políticas similares a los utilizados anteriormente pueden aplicarse al recuperar datos de lagunas de datos.^[8]

Véase también

Referencias

Acoplamientos externos

• ¿Qué es control de acceso basado en el atributo?
• CONTROL DE ACCESO (ABAC) - RESUMEN BASADO EN ATRIBUTO
• Unificado atributo base acceso Control modelo (ABAC) cubriendo DAC, MAC y RBAC
• Atributo basado en modelos de Control de acceso (ABAC) y la implementación de infraestructura en la nube como un servicio
• ABAC no RBAC: Bienvenidos al mundo (IoT) de seguridad Contextual, 2015, Lori MacVittie

Otras Páginas

• Motasingha
• Ladrillos y clicks
• Liberty City
• Amarchand y Mangaldas y Suresh A Shroff y Co
• Universidad de pensamiento libre
• Motor Nissan TB
• Iglunga
• Tercera edad
• Samsung Galaxy Beam i8520