技术·原创 | 零信任与基于策略的访问控制

最新推荐文章于 2025-09-10 20:51:04 发布
原创 最新推荐文章于 2025-09-10 20:51:04 发布 · 1.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文探讨了在复杂多变的办公环境中,零信任模型作为安全访问控制的最佳解决方案。零信任强调身份验证、信任评估和动态访问控制,而传统的ABAC已无法满足需求,因此引入PBAC,它支持环境和上下文控制,能灵活适应不断变化的网络环境和用户需求。

技术·原创 | 零信任与基于策略的访问控制

作者:息象科技—Bruno Jin

当前企业在办公过程会使用大量不同的应用程序和操作系统来实现企业价值。很多的企业还会跨多个环境,(On-Prem 或者 Cloud)工作,广泛支持BYOD设备,并采用敏捷开发模式,使办公环境变的十分复杂。在如此复杂,变化多端的环境中,如何提供有效的安全访问控制?

零信任模型是目前最佳的解决方案

身份认证、信任评估、动态访问控制、业务安全访问是零信任的核心能力。
在零信任模型中,基本假设是身份和资源通过可信网络连接。为了满足这一要求,必须全面控制双方。身份管理和身份验证管理确定身份,授权管理确定资源。

在这里插入图片描述
零信任模型是基于会话的、动态策略评估的、细粒度的动态访问控制。其特点和能力如下:

  • 所有数据源和计算服务都被认为是资源。
  • 无论网络位置如何,所有通信都要受到保护。
  • 在每个会话的基础上,授予定向资源的访问权。
  • 对资源的访问由动态策略决定,包括客户端身份、应用程序、请求资产的可观察状态,并且可以包括其他行为属性。
  • 确保企业所有拥有的有关设备处于尽可能最安全的状态,并且动态监控其安全的状态。
  • 在允许访问之前,所有资源的认证和授权都是动态的和严格强制执行的。
  • 帮助企业收集关于网络基础设施和通信的当前尽可能多的信息,并使用它来改善其安全态势。

基于此,传统的ABAC(基于属性访问控制)已不能满足访问控制的需求。与ABAC相比,PBAC(基于策略访问控制)支持环境和上下文控制,因此可以设置策略以在特定时间和特定位置授予对资源的访问权限,甚至可以评估身份和资源之间的关系。可以快速调整策略,并为给定的时间段设置策略(例如

最低0.47元/天 解锁文章
技术·原创 | 信任 VS 等保2.0访问控制技术
xixiangkeji的博客
04-15 1756
等保2.0关于访问控制的规定 等保2.0标准中对访问控制做了详细要求,下面表格中列出了等保2.0对访问控制的要求,黑色加粗字体表示是针对上一安全级别增强的要求。 表1、等保2.0不同保护级别的访问控制技术要求对比 等保2.0中主要在安全区域边界和安全计算环境中提到访问控制要求。安全区域边界主要指在网络边界进行访问控制,通过应用ACL、会话状态、应用协议、应用内容、通信协议转换和通信协议隔离等方式达到访问控制要求。安全计算环境主要指在主机终端进行访问控制,通过强化用户账户和权限的授权管理、授权主体配置访
技术·原创 | 四步部署信任SDP产品助力企业数字化转型
xixiangkeji的博客
04-08 984
作者:息象科技—脱缰的哈士奇 背景 受新冠疫情的影响,大部分企业的远程办公已逐步常态化。远程办公过程中,员工的身份成为新的边界。如果企业在身份和访问的管理上存在弱点和不足,就容易产生大量的安全盲点,并带来巨大的安全风险。 新冠疫情虽加速了远程办公的发展,但我们应该清醒的意识到,远程办公的原始驱动力是企业的数字化转型。 企业需要快速制定一系列关于数字化转型的计划,来应对不断变化的网络环境和常态化的远程办公需求。值得注意的是,企业数字化转型不是一项短期的投资,而是企业长期战略计划的一部分,因此需要更适合更安全
基于策略访问控制(PBAC): 5个关键特性
西京刀客
01-09 3992
基于策略访问控制(PBAC): 5个关键特性 Roles have ruled the IAM world for a long time, yet over time were found to be hard to manage and scale; attributes were always out there, but were difficult to adopt. The time has come for Policy Based Access Control (PBAC), a sta
访问控制的几种模式
热门推荐
小懿大侠的专栏
06-20 1万+
这里写自定义目录标题一般分类其他分类 一般分类 自主访问控制: Discretionary Access Control,DAC。由客体的属主对自己的客体进行管理,由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体,这种控制方式是自主的,也就是说,在自主访问控制下,用户可以按自己的意愿,有选择地其他用户共享他的文件。典型的例子是:Linux下默认情况下的文件权限机制。 强制访问控制: Mandatory Access Control,MAC。一种由操作系统约束的访问控制,目标是限制主体或发起者访
从混乱到有序:DotNetGuide策略授权实战指南
最新发布
gitblog_00965的博客
09-10 377
在企业级应用开发中,权限管理往往是最令人头疼的模块之一。当你还在用硬编码的方式控制"谁能访问什么功能"时,DotNetGuide项目已经通过基于策略的授权模式,让权限管理变得灵活而优雅。本文将带你从开始掌握这一高级特性,解决90%的权限控制场景问题。 ## 权限管理的进化之路 传统的基于角色(RBAC)授权模式在复杂业务场景下常常显得力不从心。想象一下,当你的系统需要根据用户的部门、职位、入...
bunjil:具有基于策略访问控制的模式合并,身份验证和授权的GraphQL堡垒服务器
02-03
本吉尔 | Bunjil是面向公众的GraphQL服务器。 它带有基于策略的授权,并可以挂钩进行自己的身份验证(Passport.js,Auth0,数据库)。 目的是允许将一个或多个私有GraphQL模式拼接到一个公共的GraphQL模式中。 路线图 文献资料 将多个GraphQL模式合并为一个公共模式 隐藏类型的能力 隐藏字段(掩盖)的能力 基于策略的授权,直至领域/边缘级别 能够根据角色和策略拒绝对字段的访问 缓存以及将策略缓存到现场级别 认证钩 授权挂钩 入门 yarn add bunjil npm install bunjil // Import Bunjil and the Policy Types import { Bunjil , Policy , PolicyCondition , PolicyEffect } from "bunjil" ; // Create a schema const typeDefs : string = ` type User { id: ID name: String passwo
信任架构下的访问控制技术
weixin_70101757的博客
07-17 2058
基于信任理念构建信任架构,打破传统安全架构基于网络边界构筑信任域的理念,基于各类主体的身份进行细粒度的风险度量和访问授权,通过持续信任评估实现动态访问控制,避免核心资产直接暴露,最大程度减少被攻击面以及被攻击的风险。身份认证、信任评估、动态访问控制、业务安全访问是信任的核心能力。访问控制模块持续依据评估结果建立访问主体和被访问资源之间的映射关系,调整并下发执行控制策略,构建对核心业务资产的保护屏障,将核心业务资产的暴露面隐藏。传统访问控制模型中,访问主体通过角色属性获取相应权限。但是在信任架构下,以
是否为网络边界配置了基于策略访问控制规则?
ZOMO的博客
02-27 1384
*一、概念和背景知识**:* 什么是 **网络边界**?* 什么是 **策略访问控制(Strategy-based Access Control)**?**二、意义和作用**:策略访问控制在网络边界中部署访问控制系统,确保只有经过授权的内部用户才能进入受保护的网络资源;对于外部攻击者来说则设置了严格的权限限制来阻止非法入侵并保护关键数据资产的安全稳定运行至关重要;
RSA创新沙盒盘点|BastionZero——信任基础设施访问服务
weixin_44981569的博客
05-25 957
RSAConference2022将于旧金山时间6月6日召开。大会的Innovation Sandbox(沙盒)大赛作为“安全圈的奥斯卡”,每年都备受瞩目,成为全球网络安全行业技术创新和投资的风向标。 前不久,RSA官方宣布了最终入选创新沙盒的十强初创公司:Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq。 绿盟君将通过背景介绍、产
下一代4A信任身份访问管理解决方案分析
标题“优优商品_IT-原创_信任4A方案.zip”和描述“基于‘信任’下一代应用集中身份访问管理解决方案。有一些参考意义。是售前了解4A,以及信任的资料。”中涉及的知识点包含了信任网络架构、4A概念以及...
【知识科普】常见的访问控制策略
wendao76的专栏
11-19 2044
角色权限控制是确保系统安全性和数据完整性的关键机制。基于角色的访问控制(Role-Based Access Control,简称RBAC)是一种访问控制机制,通过为用户分配角色来管理权限。RBAC模型使得权限的管理更加简便高效,尤其适用于复杂的系统架构。RBAC的核心思想是“用户-角色-权限”的授权模型,即一个用户拥有若干角色,一个角色拥有若干的权限。ACL是由一系列permit(允许)或deny(拒绝)语句组成的、有序的规则集合,它通过匹配报文的相关字段实现对报文的分类。
策略机:一种访问控制策略定义和执行的新架构
Enlink_Young的博客
09-28 498
本文整理了The Policy Machine: A novel architecture and framework for access control policy specification and enforcement(David Ferraiolo, Vijayalakshmi Atluri, Serban Gavrila)的核心方法和观点,完整内容请至公众号《权说安全》查看。 关键词:访问控制策略策略机:一种访问控制策略定义和执行的新架构 策略机PM(P...
访问控制模型综述
weixin_30709809的博客
12-19 978
访问控制模型综述 访问控制的核心是授权策略。以授权策略来划分, 访问控制模型可分为: 传统的访问控制模型(DAC\MAC\ACL)、基于角色的访问控制(RBAC) 模型、基于任务和工作流的访问控制(TBAC) 模型、基于任务和角色的访问控制(T-RBAC) 模型等。 1.传统的访问控制模型 自主访问控制DAC 自主访问控制是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访...
【再探】设计模式—访问者模式、策略模式及状态模式
KEEP CODING
05-31 1462
访问者模式是用于访问复杂数据结构的元素,对不同的元素执行不同的操作。策略模式是对于具有多种实现的算法,在运行过程中可动态选择使用哪种具体的实现。状态模式是用于具有不同状态的对象,状态之间可以转换,且不同状态下对象的行为不同,客户端可以不必考虑其状态及转换,对所有的状态都可以执行同一的操作。
RBAC:基于角色的访问控制
weixin_64022848的博客
11-02 987
基于角色的访问控制(RBAC)是实施面向企业安全策略的一种有效的访问控制方式。一种数据库的设计思想,其核心是角色。其基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。用户访问项目应当根据其权限的不同,可以操作的项目资源是不同的。项目的资源可以分为两大部分:前端页面资源和后台功能资源。
信任数据动态授权实现方案
m0_73803866的博客
09-26 518
随着数字化的深入,数据成为重要生产要素。数据伴随着业务和 应用,在不同载体间流动和留存,贯穿信息化和业务系统的各层面、 各环节,在复杂的应用环境下,保证重要数据、核心数据以及用户个 人隐私数据等敏感数据不发生外泄,是数据安全保障工作的重要挑战。数据安全靠的不是单点技术,而是能力体系。
信任落地路径研究
SkyChaserYu的博客
02-01 1101
信任网络安全已被企事业单位所认可,然而如何进行信任转型却没有标准的流程可以遵循,基于应用分类和用户角色的信任落地路径,将信任转型工作划分为应用隔离、身份认证、统一门户、访问策略、逐步迁移等独立的任务,同时制定连贯的计划来确保各项任务的推进、衡量和评估,确保每个阶段的用户影响最低。这个过程以VPN替换、应用微隔离和构筑统一的安全管理平台为目标,逐渐使远程访问变得更容易、网络管理变得更简单、应用数据变得更安全。基于这个过程,企事业单位可以探索出一条属于自己的信任成功转型之路。 内容目录: ...
构建信任数据动态授权能力的关键步骤.
m0_73803866的博客
09-26 469
构建信任数据动态授权能力的关键举措(一)Gartner 将数据安全治理(DSG)定义为“信息治理的一个子集, 基于良好定义的数据策略和流程对企业数据(结构化数据库和基于文 件的非结构化数据)进行保护”,数据分级分类工作是数据安全治理 的首要和基础工作。组织有哪些敏感数据?谁在使用这些数据?这些 数据存储在哪里?如何描述这些数据,组织需要对其数据资产有完整的视图。
权限访问控制模型:资源权限架构设计
秃了也弱了
01-20 1331
RBAC(Role-Based Access Control)是一种基于角色的访问控制模型,它可以控制用户对系统资源(一般是对接口)的访问权限。1.用户表(User):用于存储用户的基本信息,例如用户ID、用户名、密码等。2.角色表(Role):用于存储角色的基本信息,例如角色ID、角色名、角色描述等。3.权限表(Permission):用于存储权限的基本信息,例如权限ID、权限名、权限描述等。权限来标识具体的事物(接口、资源、菜单等)
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值