Buscando un enfoque para implementar el control de acceso basado en atributos (ABAC)

8

Estamos buscando implementar el control de acceso basado en atributos. Si bien la filosofía nos vende, hay dos temas que parecen surgir:

  • ¿Llevará a problemas de rendimiento significativos? Especialmente si buscamos acceso de grano fino. Creo que estoy buscando alguna orientación estructurada para encontrar el equilibrio adecuado.
  • ¿Los PEP disponibles son capaces de implementar XACML? Mis colegas que revisaron IBM y Oracle no están muy cómodos de que esté listo para la empresa todavía.
pregunta raghu 28.03.2014 - 18:53
fuente

1 respuesta

14

Descargo de responsabilidad: trabajo para Axiomatics, el proveedor líder de ABAC / XACML.

Me alegra saber que te venden la filosofía de ABAC. Si aún no lo ha hecho, revise los siguientes recursos (le ahorraré enlaces comerciales):

Ahora, con respecto a sus preguntas directamente:

  • ¿Llevará a problemas de rendimiento significativos, especialmente si buscamos un acceso detallado? Cuando planifica y diseña una solución ABAC, los dos puntos principales que desea considerar y que pueden afectar al rendimiento son los más importantes. el enlace de comunicación PEP a PDP (donde PEP es el punto de aplicación que protege sus aplicaciones y PDP es el punto de decisión que procesa las solicitudes de autorización y evalúa las políticas de autorización) y los enlaces PDP a PIP (donde el PIP o punto de información de políticas es el puente para fuentes de atributos, por ejemplo, LDAP, bases de datos, servicios web). La evaluación de políticas en sí misma no es nada costosa. Si el acceso es de grano fino o no, no necesariamente afectará el rendimiento. Sin embargo, lo que se hará es cómo expuso el servicio de autorización (el PDP). Si expone como un servicio SOAP, entonces introduce la latencia de un servicio SOAP. Si lo expones a través de un protocolo binario, p. Apache Thrift entonces el rendimiento es mucho mejor. Del mismo modo, si necesita recuperar 10 atributos de 10 fuentes diferentes y si cada fuente tiene una latencia prolongada, el rendimiento será deficiente. Pero siempre puede optar por agrupar las búsquedas de atributos, consolidar sus fuentes de atributos y almacenar en caché los valores de los atributos. La conclusión es sí. ABAC puede funcionar correctamente si está correctamente diseñado. Para darle un ejemplo, PayPal utiliza el control de acceso basado en atributos y su rendimiento es bueno. Algunas de las compañías más grandes de Fortune 50 usan ABAC y al mismo tiempo tienen estrictos requisitos de rendimiento. El siguiente diagrama ilustra los 6 puntos en los que puede mejorar el rendimiento.
    • cómo se cargan las políticas en la memoria (1)
    • cómo se evalúan las políticas (2): si crea una buena estructura de políticas, puede eliminar rápidamente hasta el 90% de una política de autorización antes de evaluarla por completo.
    • cómo se recuperan los valores de los atributos de los PIP (3). Este es el punto principal a considerar como se indicó anteriormente. Existen varias técnicas para reducir el impacto en el rendimiento de esta integración
    • cómo las decisiones de autorización se pueden almacenar en caché en el lado PEP (4).
    • cómo se pueden agrupar las solicitudes de autorización en una solicitud de decisión múltiple: esto guarda viajes de ida y vuelta entre el PEP y el PDP (5)
    • por último, y quizás lo más importante, cómo se comunican el PEP y el PDP, como se mencionó anteriormente. Simplemente elija el protocolo que más le convenga (integrado, binario, SOAP ...) (6)
  • ¿LosPEPdisponiblessoncapacesdeimplementarXACML?Sí,porsupuestoquesí.VariosproveedorescomoAxiomatics(probablementenolosgrandescomoOracleoIBM)ylasimplementacionesdecódigoabiertoproporcionanPEP.Veacomoejemploesta lista . También hay integraciones con componentes estándar. Por ejemplo, Fedora proporciona unos para su sistema operativo. Hay uno para SAP. Axiomatics proporciona uno para bases de datos SQL (Oracle, SQL Server ...). También se puede proteger CMS como SharePoint y Liferay. También puedes ver el proyecto OpenAZ .

¿Sus colegas solo han examinado IBM y Oracle? Los principales actores definitivamente no son esos dos, sino los proveedores más pequeños y la comunidad de código abierto.

Como Gartner declaró recientemente, ABAC es el camino a seguir. Predicen que el 70% de las organizaciones adoptarán ABAC para 2020. Ahora es un buen momento para comenzar.

    
respondido por el David Brossard 31.03.2014 - 09:30
fuente

Lea otras preguntas en las etiquetas