KseniyaKirillova в 07:56, 13 июля 2015

2015-07-13T07:56:00Z

KseniyaKirillova в 09:44, 24 апреля 2015

2015-04-24T09:44:38Z

KseniyaKirillova: Новая страница: «
''Евгений Мяченков, наш ведущий разработчик…»

2015-04-20T14:28:33Z

Новая страница: «<blockquote>''Евгений Мяченков, наш ведущий разработчик…»

Новая страница

<blockquote>''[[:Категория:Евгений Мяченков (Статьи)|Евгений Мяченков]], наш ведущий разработчик, опубликовал в корпоративном блоге на [http://habrahabr.ru/ «Хабрахабре»] статью, посвященную вопросу контроля доступа в компании. Какие существуют подходы к контролю доступа? В чем заключаются достоинства и недостатки ролевого подхода? Какие преимущества по сравнению с ним предоставляет подход, основанный на атрибутах? Ответы на эти вопросы — в материале[http://habrahabr.ru/company/custis/blog/248649/ «Подходы к контролю доступа: RBAC vs. ABAC»].''</blockquote>
=== Введение ===

Когда компания состоит из одного человека, то внутренних секретов в ней нет. Единственному сотруднику доступны любые действия и любая информация.

[[Image:RBAC Схема 1.jpg|thumb|450px|center]]

Если компания успешна и объемы работы растут, то наступает момент, когда один человек перестает справляться. И тогда в компанию нанимаются новые сотрудники.

[[Image:RBAC Схема 2.jpg|thumb|450px|center]]

Но когда число сотрудников в компании увеличивается, появляются другие проблемы, например:

* каждый сотрудник должен выполнять только свои бизнес-задачи и не иметь доступа к чужим;

* каждый сотрудник должен видеть только связанную со своими бизнес-задачами информацию;

* у каждой задачи должен быть ответственный за ее выполнение сотрудник.

Если не решить эти проблемы, фирма может понести финансовые потери из-за:

* неэффективного выполнения чужих задач в силу некомпетентности;

* умышленных или неумышленных ошибок в чужих задачах;

* раскрытия информации посторонним лицам.

Чтобы решить эти проблемы и правильно разграничить доступ, нужно понимать, кто из сотрудников хочет выполнить действие (аутентификация) и может ли он это сделать (авторизация).

[[Image:RBAC Схема 3.jpg|thumb|450px|center]]

Самой сложной является проблема авторизации. Существует несколько подходов к ее решению, но наибольшее распространение на сегодняшний день получил контроль на основе ролей (role-based access control, RBAC).

=== Role-based access control (RBAC) ===

Суть подхода заключается в создании ролей, повторяющих бизнес-роли в компании, и присваивание их пользователям. На основе этих ролей проверяется возможность выполнения пользователем того или иного действия.

Если бизнес-правила одномерны и все действия можно разбить по ролям (бухгалтер, менеджер, администратор и т. п.), такого подхода будет достаточно. Тогда одному бизнес-правилу будет соответствовать одна роль.

[[Image:RBAC Схема 4.jpg|thumb|450px|center]]

[[Image:RBAC Схема 5.jpg|thumb|450px|center]]

Но бизнес-правила неизбежно усложняются и становятся многомерными. Это приводит к тому, что одного атрибута (роли) для выражения бизнес-правил становится недостаточно и начинают добавляться другие атрибуты (город, страна, филиал, день недели, владелец, лимит).

Чтобы справиться с этой сложностью, необходимо создавать дополнительные роли, число которых равно числу различных комбинаций всех атрибутов.

[[Image:RBAC Схема 6.jpg|thumb|450px|center]]

[[Image:RBAC Схема 7.jpg|thumb|450px|center]]

После каждого добавления нового значения атрибута придется добавлять новые роли. То есть, если появится филиал «Г», придется добавить новые роли, такие как "Администратор филиала «Г», "Менеджер филиала «Г», "Бухгалтер филиала «Г» и т. п., после чего присвоить всем требуемым сотрудникам новые роли. Все это порождает много рутинного ручного труда.

Кроме этого, появляются и другие проблемы:

* одно бизнес-правило «размазывается» среди множества ролей и становится неочевидным, что усложняет понимание такого правила и его поддержку;

* начинается взрывной рост числа ролей, что значительно усложняет управление ими.

А бизнес-правила, в которых используются атрибуты, значения которых заранее не известны и вычисляются в процессе работы, вообще невозможно выразить с помощью ролевой модели.

[[Image:RBAC Схема 8.jpg|thumb|450px|center]]

Существуют также бизнес-правила, которые ограничивают доступ не к действиям, а к данным. Такие бизнес-правила также невозможно выразить с помощью ролевой модели.

[[Image:RBAC Схема 9.jpg|thumb|450px|center]]

Чтобы реализовать поддержку таких бизнес-правил, придется использовать другие инструменты, что только удорожает и усложняет внедрение и сопровождение системы контроля доступа.

Получается, что как только бизнес-правила становятся многомерными или требуют контроля данных, ролевая модель не только не решает текущие проблемы контроля доступа, но и создает новые.

=== Attribute-based access control (ABAC) ===

Чтобы справиться с нерешаемыми в рамках RBAC проблемами, был создан другой подход, который основывается на атрибутах.

Основное отличие этого подхода в том, что каждая ситуация оценивается не с точки зрения роли пользователя и действия, которое он хочет совершить, а с точки зрения атрибутов, которые к ним относятся.

Бизнес-правило, по сути, представляет собой набор условий, в которых различные атрибуты должны удовлетворять предъявляемым к ним требованиям.

Можно явно выделить несколько категорий атрибутов.

[[Image:RBAC Схема 10.jpg|thumb|450px|center]]

Для выполнения авторизации значения всех атрибутов берутся в момент проверки прав и сравниваются с ожидаемыми значениями. Выполнение всех условий обеспечивает доступ к ресурсу.

Простые правила описываются простыми условиями.

[[Image:RBAC Схема 11.jpg|thumb|450px|center]]

Многомерные правила в этой модели не становятся более сложными.

[[Image:RBAC Схема 12.jpg|thumb|450px|center]]

При добавлении новых значений атрибутов условия бизнес-правила меняться не будут. То есть если появится филиал «Г», в условиях бизнес-правила ничего менять не придется. Все, что потребуется, — это добавить нужным сотрудникам значение атрибута «Филиал» — «Филиал «Г».

Таким образом, ABAC позволяет избежать проблем, которые появляются в RBAC:

* бизнес-правило не «размазывается» по системе, что делает его понимание и поддержку достаточно простыми;
* не происходит взрывного роста числа условий, что упрощает их сопровождение.

Но самое главное, ABAC позволяет решить проблемы, которые невозможно решить с помощью RBAC, поскольку в этом подходе нет ограничений на сложность бизнес-правил.

Бизнес-правила любой сложности, в том числе с использованием заранее неизвестных атрибутов, не создают новых проблем и просты в сопровождении.

[[Image:RBAC Схема 13.jpg|thumb|450px|center]]

Представления бизнес-правила в виде набора условий удобно использовать для фильтрации данных. Часть условий можно вычислить еще до обращения к ресурсу, а оставшиеся условия становятся фильтром для выбора данных.

[[Image:RBAC Схема 14.jpg|thumb|450px|center]]

Первые три условия можно проверить еще до обращения к данным. А последнее условие можно использовать в качестве предиката для получения только разрешенных данных.

=== Сравнение ABAC и RBAC ===

[[Image:RBAC Схема 15.jpg|thumb|450px|center]]

Как видно из сравнения, RBAC хорошо подходит только для реализации простых бизнес-правил. С увеличением сложности правил целесообразность использования RBAC уменьшается из-за растущей стоимости поддержки системы контроля доступа, а начиная с определенного уровня сложности правил этот подход вообще не дает результата.

ABAC, в свою очередь, не ограничивает сложность бизнес-правил. Благодаря более понятному бизнесу и компактному выражению этот подход позволяет не увеличивать стоимость поддержки при реализации более сложных правил, а также дает возможность обеспечивать контроль доступа не только к действиям, но и к данным.

=== Полезные ссылки ===

* [http://en.wikipedia.org/wiki/Attribute-based_access_control ABAC]
* [https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml Стандарт XACML]
* [http://nvlpubs.nist.gov/nistpubs/specialpublications/NIST.sp.800-162.pdf Guide to ABAC от NIST]
* [http://www.axiomatics.com/attribute-based-access-control.html Реализация XACML от Axiomatics]
* [http://wso2.com/library/articles/2010/10/using-xacml-fine-grained-authorization-wso2-platform/ WSO2 и XACML]
* [http://docs.oracle.com/cd/E13222_01/wls/docs92/secwlres/xacmlusing.html Oracle WebLogic и XACML]
* [https://www.ibm.com/developerworks/community/wikis/home?lang=en#!/wiki/Tivoli%20Security%20Policy%20Manager/page/Authorization%20Web%20Service IBM Tivoli Security Policy Manager и XACML]
* [http://www.cisco.com/c/en/us/products/collateral/security/policy-decision-point/data_sheet_c78-453502.html Cisco Enterprise Policy Manager и XACML]
* [http://www.w3.org/2009/policy-ws/papers/Tolbert.pdf Boeing и XACML]
* [http://www.axiomatics.com/news/228-paypal-to-use-axiomatics-intelligent-access-management-solution.html PayPal и Axiomatics]
* [http://xacmlinfo.org/ Информационный ресурс о XACML]

[[Категория:Евгений Мяченков (Статьи)]]
[[Категория:Хабрахабр (Публикации)]]

[[Категория:2015 год (Статьи)]]

{{replicate-from-custiswiki-to-lib}}

← Предыдущая		Версия 07:56, 13 июля 2015
Строка 1:		Строка 1:
−	<blockquote>''[[:Категория:Евгений Мяченков (Статьи)\|Евгений Мяченков]], наш ведущий разработчик, опубликовал в корпоративном блоге на [http://habrahabr.ru/ «Хабрахабре»] статью, посвященную вопросу контроля доступа в компании. Какие существуют подходы к контролю доступа? В чем заключаются достоинства и недостатки ролевого подхода? Какие преимущества по сравнению с ним предоставляет подход, основанный на атрибутах? Ответы на эти вопросы — в материале[http://habrahabr.ru/company/custis/blog/248649/ «Подходы к контролю доступа: RBAC vs. ABAC»].''</blockquote>	+	<blockquote>''[[:Категория:Евгений Мяченков (Статьи)\|Евгений Мяченков]], наш ведущий разработчик, опубликовал в корпоративном блоге на [http://habrahabr.ru/ «Хабрахабре»] статью, посвященную вопросу контроля доступа в компании. Какие существуют подходы к контролю доступа? В чем заключаются достоинства и недостатки ролевого подхода? Какие преимущества по сравнению с ним предоставляет подход, основанный на атрибутах? Ответы на эти вопросы — в материале [http://habrahabr.ru/company/custis/blog/248649/ «Подходы к контролю доступа: RBAC vs. ABAC»] на сайте.''</blockquote>
	=== Введение ===		=== Введение ===

Подходы к контролю доступа: RBAC vs. ABAC - История изменений

KseniyaKirillova в 07:56, 13 июля 2015

KseniyaKirillova в 09:44, 24 апреля 2015

KseniyaKirillova: Новая страница: «''Евгений Мяченков, наш ведущий разработчик…»

KseniyaKirillova: Новая страница: «
''Евгений Мяченков, наш ведущий разработчик…»