1. дома
  2. Вопрос и ответ
  3. При использовании безопасности ABAC, как вы смотрите правила?

При использовании безопасности ABAC, как вы смотрите правила?

2016-04-26 1 views
1

При внедрении ABAC/XACML спецификация указывает, что вы должны перехватывать запросы на конфиденциальные данные с помощью PEP, которые направляют запрос на PDP (PEP включают атрибуты об объекте, среде, ресурсе и действии при вызове PDP).При использовании безопасности ABAC, как вы смотрите правила?

PDP затем определяет, какие правила необходимо оценивать для решения о доступе.

Материал из Википедии: https://en.wikipedia.org/wiki/XACML

XACML обеспечивает цель, [5], который в основном набор упрощением условий фи-е изд субъекта, ресурсов и действий, которые должны быть выполнены для набора политики, политики, или правило применять к данному запросу. Как только политика или набор политик будут применены к данному запросу, его правила оцениваются для определения решения доступа и ответа.

Политический набор, политика и правило могут содержать целевые элементы.

Это мое понимание того, что, как PDP решает, какие правила в ПГИ применимы в конкретной реализации, но это кажется очень важной частью process--, если вы пропустите правило, к примеру, вы бы не правильно оценивайте запрос. Каким образом люди могли это реализовать? Что сработало, а что нет? (Я неохотно склоняюсь к поиску по таблице EAV-ish.)

источник

2016-04-26 jbd

+0

Я обновил страницу в Википедии, чтобы дать лучшее объяснение архитектуры XACML –

ответ

1

Вы всегда настраиваете PDP с набором политик. Вы можете предоставить PDP любое количество политик и наборов политик (групп политик) , но вы должны указать точку входа, т. Е. Должна существовать корневая политика. Затем эта корневая политика может содержать и/или ссылаться на другие политики (или наборы политик).

PDP самостоятельно определяет, какие политики вызывать и оценивать на основе входящего запроса от PEP. PEP не знает, сколько политик существует. Вы не пропустите правило, как вы заявляете в своем вопросе. Ответственность PDP не входит. Обычно вы не будете использовать свой собственный PDP. Вы бы использовали готовый. Существует несколько двигателей с открытым исходным кодом, например. SunXACML и коммерческие альтернативы, например. Аксиоматика.

PIP используется для поиска значений атрибутов, а не для поиска политик.

Sample Representation of a XACML policy

источник

2016-04-27 10:03:00

+0

имеет смысл. Благодарю. Но как PDP решает, какие политики нужно оценивать? Что-то вроде, если запрос для действия «написать», оценить все политики, которые включают, могут разрешать действия записи? – jbd

+0

Политики содержат цели, которые определяют, применяются ли они. Например, целевой объект политики может сказать role == manager. Когда PEP отправляет PDP запрос, он содержит значения атрибутов, которые используются для определения того, применима ли политика –

+0

ОК, спасибо. Предположим, PDP находит несколько применимых политик (на основе атрибутов, передаваемых PEP), и определяет, что ему нужно найти еще несколько атрибутов, затем PDP ищет более необходимые политики на основе атрибутов, которые он просто искал. (Не уверен, что это имеет значимость «реального слова».) – jbd

Смежные вопросы

 Смежные вопросы