ABAC nasıl işler
Öznitelik tabanlı erişim kontrolü, yetkilendirmeyi statik atamalar yerine öznitelikler üzerindeki politikalarla ifade eder. Bir politika şunu söyleyebilir: Kullanıcının departmanı belgenin ait olduğu departmanla eşleşiyorsa, belgenin sınıflandırması kullanıcının yetki seviyesini aşmıyorsa ve talep mesai saatlerinde yönetilen bir cihazdan geliyorsa kullanıcı belgeyi okuyabilir.
Talep anında bir politika motoru; kimlik sağlayıcılardan, dizinlerden ve kaynağın kendisinden öznitelikleri toplar, geçerli politikaları değerlendirir ve izin ver ya da reddet kararı döndürür. Karar dinamik verildiği için öznitelikler değiştiğinde erişim kendiliğinden uyum sağlar — biri departman değiştirdiğinde bir yetkiyi güncellemeyi kimsenin hatırlaması gerekmez.
ABAC birçok modern kalıbın temelidir: Kimlik sağlayıcılardaki koşullu erişim kuralları, bulut platformlarındaki etiket tabanlı politikalar ve ayrıntılı yetkilendirme servisleri özünde öznitelik odaklıdır.
ABAC neden önemlidir
Erişim bağlama bağlı olduğunda rol modelleri zorlanır. "Mühendisler üretim verilerine yalnızca yönetilen cihazlardan ve yalnızca atandıkları projeler için erişebilir" gereksinimini salt rollerle ifade etmek rol varyantı patlamasına yol açar. ABAC, bu tür gereksinimleri birkaç politikayla karşılar.
ABAC, her talebin kalıcı bir yetkilendirmeye değil güncel bağlama göre değerlendirilmesi gereken sıfır güven mimarileri için de doğal bir uyum sağlar. Cihaz durumu, ağ konumu ve risk puanı gibi sinyaller birer özniteliktir; koşullu erişim, özünde ABAC'ın kimlik doğrulama ve oturum kararlarına uygulanmış halidir.
Bunun bedeli denetlenebilirliktir. ABAC altında "bu kaynağa kimler erişebilir?" sorusunu yanıtlamak, politikaları tüm olası öznitelik kombinasyonları üzerinde değerlendirmeyi gerektirir; bu da gözden geçirenler ve denetçiler için rol üyeliği listesinden daha zordur. Öznitelik kalitesi de kritiktir: Bir politika ancak onu besleyen dizin verisi kadar güvenilirdir.
Pratikte ABAC
Az sayıda kuruluş salt ABAC kullanır. Yaygın kalıp hibrittir: Roller temel ve gözden geçirilebilir erişimi tanımlar; öznitelik tabanlı politikalar bunun üzerine bağlamsal koşullar ekler — bu erişimin ne zaman, nereden ve hangi cihazdan kullanılabileceğini sınırlar.
Pratik bir kurulum, politikaların dayanacağı öznitelikleri — dizindeki departman, unvan ve yönetici alanları gibi — temizleyerek başlar; ardından az sayıda yüksek değerli politika uygular: Hassas uygulamaları cihaz ve konum koşullarıyla korumak veya veri erişimini veri sınıflandırmasına göre kapsamlamak gibi.
Kimlik platformlarında bu genellikle koşullu erişim olarak karşımıza çıkar; örneğin Monosign, koşullu erişim politikalarının bir parçası olarak oturum açma sırasında bağlamsal koşulları değerlendirir.