确定谁可以和不能访问个别数据的最传统方式之一是一个称为基于角色的访问控制(RBAC)的框架。此方式定义公司内的特定用户角色,之后为每位角色指定权限。但假如一家公司须要赶超这种简单的授权呢?每次添加新的数据平台、数据源或数据集时,必须为每位角色定义访问权限。在小型、复杂的公司,甚至是大型但不断发展的公司中,可能有数十甚至数百个角色须要管理,这种角色不断扩大。
最简单地说linux系统访问控制列表,RBAC可能看上去像这样:ROLEA
角色B
您可以看见,这会显得十分复杂和无法管理。细细度访问控制(包括基于属性的访问控制)是控制数据和资源访问的一种更高贵、更细细度的形式,是一种更强悍的选择。
哪些是细细度访问控制?
细细度访问控制是一种控制谁可以访问个别数据的方式。与广义数据访问控制(亦称为粗细度访问控制)相比,细细度访问控制使用了更细微和可变的方式来准许访问。
最常用于大量数据源储存在一起的云估算中,细细度访问控制为每位数据项提供了自己指定的访问策略。这种标准可以基于许多特定诱因,包括恳求访问的人员的角色和对数据的预期操作。比如,一个人可能被授予编辑和修改数据的权限,而另一个人可能只被授予读取数据的权限而不进行任何修改。
为何细细度访问控制很重要?
在云估算中,将大量信息储存在一起的能力是一个巨大的竞争优势。并且,这种数据的类型、来源和安全级别可能有所不同,非常是考虑到与顾客数据或财务信息相关的数据安全合规性法律法规时。
当数据类型可以单独储存,而且可以依据储存位置简单地分配对特定数据类型的访问权限(比如,Tim可以访问X文件夹,Natalie可以访问Y文件夹等)时,粗细度访问控制可能会起作用,如在本地环境中。但当数据一起储存在云中时,细细度访问控制至关重要,由于它容许具有不同访问要求的数据在同一储存空间中“生存”,而不会碰到安全或法规遵照性问题。
怎样使用细细度访问控制?
以下是细细度访问控制的一些最常见用例:
用例1:多个数据源储存在一起
在云中,大量不同的数据类型储存在一个地方。您不能简单地基于角色授予对这种储存段的批量访问权限—某些数据类型可能可以由某个角色访问,而其他数据类型则不应当。为此,细细度访问控制十分重要,由于它为特定数据类型设置访问参数,虽然在一起储存时也是这么。
用例2:基于角色的不同访问程度
细细度访问控制最明显的用处之一是它容许不同程度的访问,而不是基于用户、其角色或所属组织的通过/失败技巧。在粗细度系统中,数据可能会依照谁企图访问它而简单地分为两类——允许或严禁。并且有了细细度的访问控制,就有了更微妙和变化的空间。
比如linux多线程,假定三名职工具有不同的角色和访问级别。对于某段数据,您可以设置参数,便于其中一个职工可以访问该文件,对其进行修改,甚至联通其位置。第二个职工可以查看文件并联通它,但不能访问它。第三名职工可能只被授予读取文件的权限。
这些级别的特殊性可以帮助您的公司避开因个别人须要查看数据而未能查看而带来的不便和自责,由于她们的权限遭到了完全限制。
用例3:确保联通访问安全
越来越多的公司支持通过智能手机等联通设备远程访问数据。与此同时,因为人们在家或在不同的时间工作,标准工作日也在延长。考虑到这一点,公司可能须要施行除了基于角色或身分,并且基于时间或位置等诱因的数据访问控制。
细细度访问控制准许这样做。诸如linux系统访问控制列表,您可以将访问权限限制在特定位置,这样职工就难以从可能遭到破坏的第三方无线服务器访问该位置。
用例4:第三方访问
在许多情况下,B2B企业可能希望让第三方访问其储存在云中的部份资产,而不会有数据意外修改或安全损坏的风险。细细度访问控制可以容许这种公司授予第三方只读访问权限,因而确保其数据的安全。
细细度访问控制的要素是哪些?
一般觉得有三种主要方式的访问控制解决方案:
基于角色的解决方案被觉得是粗细度的,由于它们将用户组织为“角色”,并仅基于这种角色授予或拒绝访问权限,而忽视了其他诱因。这意味着它们可能过分笼统或限制,未能有效扩充。事实上,一项独立研究发觉,ApacheRanger的RBAC方式须要比Immuta的基于属性的方式多75倍的策略修改。
在细细度访问控制方面,两种主要方式是基于属性的访问控制和基于目的的访问控制。
基于属性的访问控制
基于属性的访问控制将“属性”分配给特定用户和数据,之后按照这种属性确定访问。这种属性可以包括用户的位置或角色,但也可以包括她们的位置、一天中的时间和其他诱因。数据属性可能包括数据类型、创建日期或储存位置等。
基于目的的访问控制
基于目的的访问控制是最灵活的访问控制授权方式,它使用灵活且不断发展的逻辑联接将一系列角色和属性结合在一起。它被觉得是一种细细度访问控制解决方案,由于它使用多个属性来确定数据是否可以访问国内linux主机,以及访问的程度。这篇关于使用Databricks和Immuta实现零信任的博客介绍了基于目的的访问控制。
选择数据访问控制工具
正在找寻一种才能提供细细度访问控制以及更多功能的数据访问控制工具?Immuta通过在查询时动态应用的手动、基于属性和目的的控件实现自助数据访问。那些数据访问控制由一系列提高数据访问控制和通用云兼容性和安全性的其他功能补充,包括:
凭着Immuta的细细度、动态访问控制功能,数据工程和营运团队将其角色数目降低了100倍,并将自助数据访问从几个月降低到几秒钟。
Tags
本文: