轉載 | 術有專攻，談一談訪問控制

時間 2019-11-08

標籤轉載專攻訪問控制简体版

原文原文鏈接

提及訪問控制，不一樣的人會有不一樣的理解。不過其最基本的解釋，簡單地講，就是「限制對資源的訪問」。然而，具體到咱們各自的組織，要弄明白訪問控制的實際意義，卻遠非提及來那麼簡單。html

對於有些人來說，只需基於用戶身份驗證機制有選擇性地授予用戶對帳戶的訪問便可；對於有些人來說，只需釐清用戶角色便可；對於有些人來說，只需控制好訪問的許可便可。但對於另一些人來說，可能就須要對虛擬局域網進行鎖定，這已經超出了用戶的範疇，而是機器與機器之間的交互問題。git

固然，還有不少的訪問控制技術，並非基於容許訪問列表（即白名單）的訪問控制，而是基於不容許訪問列表（即黑名單）的訪問控制，好比進行潛在流量過濾的WEB應用程序安全工具。github

綜上所述，訪問控制在IT組織能夠說是無處不在，而且在不少狀況下又各有不一樣。安全

具體到「訪問策略」，大多數的訪問控制方法都依賴於徹底專業人士所制定的安全策略。特別是白名單方法，該策略一般是由組織指定的。app

黑名單則一般容易一些，由於對付沒必要要的訪問（如惡意軟件）一般不須要爲每一個用戶設定個性化的訪問控制技術。所以，儘管經過阻止一些沒必要要的訪問的黑名單形式是一項很是棒的安全基準，但真正的訪問控制一般只有經過基於組織特定的安全需求的附加的白名單纔可以達成。工具

這正是訪問控制麻煩的地方。在極端狀況下，訪問控制方法能夠很簡單、很流行而且可控，好比：大數據

基於身份識別的訪問控制（IBAC）：請求者進行身份驗證，經過驗證得到全部訪問權限，不然被拒絕訪問
基於角色的訪問控制（RBAC）：請求者進行身份驗證，並得到基於角色的訪問權限；
多層安全（MLS）：請求者擁有必定級別的身份標識，能夠訪問不高於其身份級別的分類資源。

這些方法的問題在於，其大部分對於組織相當重要的策略的實際執行都過於簡單。例如，HIPAA法案要求，法案覆蓋範圍內的實體要努力限制本身「完成使用、披露、或請求目的的最低必要」。雲計算

這種通用的（咱們稱之爲「高級」的）策略都是基於人類直覺的，使用的都是像IBAC、RBAC、MLS或列入黑名單之類的傳統而又簡單的訪問控制方法，但卻並不容易實現,。設計

相反地，這些通用的高級策略須要從新解讀爲能夠在實際技術中實現的「低級的」、複雜的策略，好比「護士只容許查看其當前所服務的治療醫師所負責的患者的病歷，而且該護士和患者應當屬於同一病區」。這樣的訪問策略每每很是複雜、詳細、包含動態信息和應用場景。code

在過去的10到15年間，設計出了許多這樣先進的訪問控制方法來支持這樣的複雜性。這些方法如屬性訪問控制（ABAC）——簡單地講，就是基於訪問者、資源和場景的規則與屬性來決定訪問控制；風險自適應訪問控制——基於風險計算實行訪問權限變化的訪問控制；還有基於鄰近度的訪問控制、基於業務流程的訪問控制、基於歷史記錄的訪問控制等等。

要彌補通用性高級訪問策略和技術性可實現性低級策略之間的「語義鴻溝」一般是具備挑戰性的。正確地實現這樣的以及其餘的先進訪問控制策略須要很好地理解如下要點：

當前日益複雜的安全策略需求及其對技術性訪問控制實現的影響；
愈來愈複雜的IT環境的影響，如雲計算、物聯網等訪問策略；
可用的高級訪問控制方法所帶來的好處與所面臨的複雜性挑戰；
克服複雜性和動態性，管理高級訪問策略的方法和流程；
瞭解高級訪問控制最適合的用例（如企業、大數據、雲計算、物聯網等）。

什麼是 Authing？

Authing 提供專業的身份認證和受權服務。
咱們爲開發者和企業提供用以保證應用程序安全所需的認證模塊，這讓開發人員無需成爲安全專家。
你能夠將任意平臺的應用接入到 Authing（不管是新開發的應用仍是老應用均可以），同時你還能夠自定義應用程序的登陸方式（如：郵箱/密碼、短信/驗證碼、掃碼登陸等）。
你能夠根據你使用的技術，來選擇咱們的 SDK 或調用相關 API 來接入你的應用。當用戶發起受權請求時，Authing 會幫助你認證他們的身份和返回必要的用戶信息到你的應用中。