Control de acceso basado en el atributo
|
De este artículo fuentes enumeradas no puede ser confiable. (Diciembre de 2016) (Aprender cómo y cuándo quitar este mensaje de plantilla) |
Control de acceso basado en el atributo (ABAC) define un control de acceso paradigma por el que se conceden los derechos de acceso a usuarios mediante el uso de políticas de que combinan atributos. Las políticas pueden usar cualquier tipo de atributos (atributos de usuario, atributos de recursos, objetos, atributos de entorno etc..). Es compatible con este modelo Lógica boleana, en las reglas que contienen "IF, ENTONCES" declaraciones sobre quién está haciendo la petición, el recurso y la acción. Por ejemplo: SI el solicitante es un administrador, ENTONCES permita que acceso de lectura/escritura a los datos sensibles.[1]
A diferencia de Control de acceso basado en roles (RBAC), que emplea a roles predefinidos que llevan un conjunto específico de privilegios de asociados con ellos y a que asignaturas se asignan, la diferencia clave con ABAC es el concepto de las políticas que expresan un conjunto de reglas booleanas complejas que puede evaluar muchos atributos diferentes.[2] Valores de atributo pueden ser valorado por el conjunto o valores atómicos. Atributos valorados en conjunto contienen más de un valor atómico. Los ejemplos son papel y proyecto. Atributos con valores atómicos contienen solamente un valor atómico. Los ejemplos son espacio libre y sensibilidad. Atributos pueden ser comparados con estática valores o, lo que permite control de acceso basado en la relación.
Aunque el concepto sí mismo existió durante muchos años, se considera ABAC[3] "next generation" autorización de modelo ya que proporciona control de acceso dinámico, sensible al contexto y riesgo inteligente a recursos que permite el acceso las políticas de control que incluyen atributos específicos de muchos diferentes sistemas de información definido para resolver la autorización y a lograr un cumplimiento eficaz, permitiendo flexibilidad de las empresas en sus implementaciones basadas en sus infraestructuras existentes.
Atributo-basado Control de acceso se refiere a veces como política de Control de acceso basado en (PBAC) o reclamaciones basado en Access Control (CBAC),[4] que es un término específico de Microsoft. [5]
Contenido
- 1 Componentes
- 1.1 Arquitectura
- 1.2 Atributos
- 1.3 Políticas de
- 2 Otros modelos
- 3 Implementaciones de
- 4 Aplicaciones
- 4.1 API y seguridad de servicios Micro
- 4.2 Seguridad de aplicaciones
- 4.3 Base de datos seguridad
- 4.4 Seguridad de datos grandes
- 5 Véase también
- 6 Referencias
- 7 Acoplamientos externos
Componentes
Arquitectura
ABAC viene con una arquitectura recomendada que es la siguiente:
- El PEP o punto de aplicación de la política: es responsable de proteger las aplicaciones y datos, desea aplicar ABAC a. El PEP examina la solicitud y genera una solicitud de autorización que envía a lo PDP.
- El PDP o el punto de decisión política es el cerebro de la arquitectura. Esta es la pieza que evalúa las peticiones entrantes contra las políticas que se ha configurado con. El PDP devuelve un permiso / negar la decisión. El PDP también puede usar puntos para recuperar metadatos falta
- El punto de información política o PIP puentes el PDP a fuentes externas de atributos por ejemplo LDAP o bases de datos.
Atributos
Atributos pueden ser sobre cualquier cosa y cualquier persona. Tienden a caer en 4 diferentes categorías o funciones (como en función gramatical)
- Sujeto de atributos: los atributos que describen el usuario que intenta el acceso por ejemplo, edad, espacio, Departamento, función, profesión...
- Atributos de acción: atributos que describen la acción que se intentó por ejemplo leer, borrar, ver, aprobar...
- Recursos (u objeto) atributos: atributos que describen el objeto de ser accesible por ejemplo el tipo de objeto (medical record, cuenta bancaria...), el Departamento, la clasificación o sensibilidad, la ubicación...
- Contextual (medio ambiente) atributos: atributos que con el tiempo, ubicación o los aspectos dinámicos de la situación de control de acceso[6]
Políticas de
Las políticas son declaraciones que reúnen atributos para expresar lo que puede suceder y no está permitido. Políticas en ABAC pueden conceder o negar las políticas. Las políticas también pueden ser locales o globales y pueden ser escritas de manera que antepone a otras políticas. Los ejemplos incluyen:
- El usuario puede ver un documento si el documento es en el mismo departamento como el usuario
- Un usuario puede editar un documento si es propietario y si el documento está en modo borrador
- Denegar el acceso antes de 9:00
Con ABAC pueden tener tantas políticas como que se adaptan a muchos escenarios y tecnologías.[7]
Otros modelos
Históricamente, los modelos de control de acceso han incluido (control de acceso obligatorioMAC), control de acceso discrecional ()DAC), y control de acceso más recientemente basado en funciones ()RBAC). Estos modelos de control de acceso están centrados en el usuario y no toman en cuenta parámetros adicionales como información de los recursos, relación entre el usuario (la entidad solicitante) y los recursos, información dinámica por ejemplo, tiempo de día o usuario IP. ABAC intenta abordarlo mediante la definición de control de acceso basado en atributos que describen la entidad solicitante (el usuario), el objeto destino o recurso, la acción deseada (ver, editar, borrar...) e información contextual o ambiental. Por esta razón control de acceso se dice que es basada en atributos.
Implementaciones de
Es un estándar que implementa el control de acceso basado en atributo y políticas XACML, el eXtensible Access Control Markup Language. XACML define una arquitectura, un lenguaje de la política y una solicitud / esquema de respuesta. No maneja gestión atributo (asignación de atributos de usuario, asignación de atributo del objeto, ambiente atributo asignación) que es tradicional IAM herramientas, datatabases y directorios.
Aplicaciones
API y seguridad de servicios Micro
ABAC puede utilizarse para la autorización basada en atributos, de grano fino se aplica a las funciones o métodos de API. Por ejemplo, una API de banca puede exponer un método de approveTransaction(transId). ABAC puede utilizarse para garantizar la llamada. Con ABAC, un autor de política puede escribir lo siguiente:
- Política: los administradores pueden aprobar transacciones hasta su límite de aprobación - Atributos utilizados: objeto de papel, acción ID, tipo, cantidad, límite de aprobación.
El flujo es como sigue:
- El usuario, Alice, llama a la API método approveTransaction(123)
- El API recibe la llamada y autentica al usuario.
- Un interceptor de la API llama al motor de autorización (normalmente llamado punto de decisión política o PDP) y le pregunta: ¿Alicia apruebe transacción 123?
- El PDP recupera la política ABAC y atributos necesarios.
- El PDP alcanza una decisión por ejemplo, permitir o denegar y regresa al interceptor de API
- Si la decisión es permiso, se llama la lógica de negocio subyacente API. De lo contrario la API devuelve un error o acceso denegado.
Seguridad de aplicaciones
Una de las ventajas clave de ABAC es que las políticas de autorización y los atributos pueden definirse en una tecnología de manera neutral. Esto significa que las políticas definidas para el API o bases de datos pueden ser reutilizadas en el espacio de aplicación. Aplicaciones comunes que se pueden beneficiar de ABAC son:
- sistemas de gestión de contenidos
- ERPs
- usos caseros
- aplicaciones Web
El mismo proceso y flujo como el descrito en la sección API se aplica aquí también.
Base de datos seguridad
Seguridad centrada en la información de bases de datos ha sido específica a los proveedores de base de datos: Oracle VPD, FGAC IBM y Microsoft RLS son todos los medios para lograr la seguridad de ABAC-como grano fino.
Uso de ABAC, es posible definir políticas centradas en los datos que se aplican a través de múltiples bases de datos. Esto se llama enmascaramiento de datos dinámicos.
Un ejemplo sería:
-Política: los administradores pueden ver las transacciones en su región - política reelaborada de manera centrada en datos: los usuarios con rol == Gerente puede hacer la acción == SELECCIÓN en mesa == TRANSACCIONES si user.region == transaction.region
Seguridad de datos grandes
Control de acceso basado en atributo puede aplicarse también a los sistemas de datos grandes como Hadoop. Políticas similares a los utilizados anteriormente pueden aplicarse al recuperar datos de lagunas de datos.[8]
Véase también
- Lista de control de acceso
- Control de acceso basado en contexto (CBAC)
- Control de acceso discrecional (DAC)
- Control de acceso basados en gráficas (GBAC)
- Control de acceso basado en enrejado (LBAC)
- Control de acceso obligatorio (MAC)
- Control de acceso basado en la organización (OrBAC)
- Control de acceso basado en roles (RBAC)
- Control de acceso basado en el conjunto de normas (RSBAC)
- Seguridad basada en la capacidad de
- Autenticación basada en ubicación
- Autenticación basada en riesgos
- Información clasificada
- Identidad federada
- Grsecurity
- Identidad impulsada por redes
- Gestión de la identidad
- Sistema de gestión de identidad
- Protocolo de acceso a directorio ligeros
- OAuth
- PERMIS
- Security Assertion Markup Language
- Servicio de token de seguridad
- Único signo en
- Software de provisioning de usuario
- XACML
Referencias
- ^ "ABAC (atributo basado Control de acceso), jerichosystems.com". 2016-07-11.
- ^ "SP 800-162, guía al atributo Based Access Control (ABAC) definición y consideraciones" (PDF). NIST. 2014. 2015-12-08.
- ^ "atributo basado Control de acceso (ABAC), axiomatics.com". 2016-07-05.
- ^ RBAC primero – ABAC next, o qué?, 2015, Horst Walther, GenericIAM Blog. Obtenido el 2016-08-30.
- ^ Karp, Alan, Harry Haury y Michael Davis. «de ABAC para ZBAC: la evolución de los modelos de control de acceso.» Conferencia Internacional sobre la guerra de la información y seguridad. Académico conferencias International Limited, 2010. Obtenido el 2016-08-30.
- ^ https://stackoverflow.com/Questions/36705901/Alternatives-for-roles-Claims-Access-Control-Systems
- ^ https://stackoverflow.com/Questions/36705901/Alternatives-for-roles-Claims-Access-Control-Systems
- ^ https://www.prweb.com/releases/2016/10/prweb13771686.htm
Acoplamientos externos
- ¿Qué es control de acceso basado en el atributo?
- CONTROL DE ACCESO (ABAC) - RESUMEN BASADO EN ATRIBUTO
- Unificado atributo base acceso Control modelo (ABAC) cubriendo DAC, MAC y RBAC
- Atributo basado en modelos de Control de acceso (ABAC) y la implementación de infraestructura en la nube como un servicio
- ABAC no RBAC: Bienvenidos al mundo (IoT) de seguridad Contextual, 2015, Lori MacVittie