身份与访问
基于属性的访问控制(ABAC)
别称: ABAC, 基于策略的访问控制
定义
一种通过对主体、资源、操作和环境属性进行策略评估,来决定是否允许访问请求的授权模型。
基于属性的访问控制用动态策略取代静态的角色分配。决策引擎根据用户部门与密级、资源分类、所请求的操作、时间、设备合规状态等属性进行规则评估。这样可以做出非常细粒度、上下文相关的判断,例如仅在医生值班期间,并通过受管设备访问时,才允许其查看病历。NIST SP 800-162 对 ABAC 进行了描述,常用 XACML 与 OPA Rego 等标准实现。其优势在于灵活性与可扩展性,缺点是策略复杂、审计困难,并依赖可信的属性来源。
示例
- OPA 策略仅在 user.region == resource.region 且 device.compliant == true 时放行。
- XACML 规则限制只允许欧盟用户从欧盟 IP 段导出个人数据。
相关术语
基于角色的访问控制(RBAC)
一种将权限授予角色而非直接授予用户的授权模型,用户通过被指派到角色而继承相应权限。
强制访问控制(MAC)
由中心策略而非资源拥有者强制执行的访问控制模型,基于赋予主体与客体的密级和许可级别做出决策。
自主访问控制(DAC)
由资源拥有者自行决定谁可以访问以及执行何种操作的访问控制模型。
授权
在身份认证完成后,决定该身份对哪些资源、可以执行哪些操作以及在何种条件下被允许的过程。
Zero Trust Network
Zero Trust Network — definition coming soon.
最小权限原则
一种安全原则,要求向每个用户、进程或服务仅授予其完成职责所必需的最少权限,绝不多余。