RBAC 与 ABAC：选择哪一个？

控制对组织数据、应用程序和其他 IT 资源的访问是一项至关重要且复杂的任务。必须确保每个用户都可以访问他们完成工作所需的资源，但任何人都不能访问他们没有合法需求的任何数据或系统。

本文探讨了两种流行的访问控制模型：基于角色的访问控制 (RBAC) 和基于属性的访问控制 (ABAC)，并为您的组织选择更合适的选项提供指导。

什么是基于角色的访问控制？

在 RBAC 模型中，员工和其他用户根据他们在组织中担任的角色被授予访问权限。也就是说，管理员定义一组角色，向每个角色授予适当的访问权限，然后为每个用户分配一个或多个角色 - 为人员分配的角色决定了他们对 IT 资源的访问权限。

RBAC 示例

以下是角色的一些示例以及可能被授予的一些访问权限：

• 首席技术官 - 访问公司所有服务器
• 软件工程师 - 访问特定的应用程序服务器
• 帮助台技术人员 - 重置用户密码并解锁用户帐户

RBAC 的优点

实施 RBAC 简化了访问管理。当新员工加入组织时，管理员不必一次授予他们一整套权限；他们只需为新员工分配相关角色，他们就会立即拥有所有相关的访问权限。同样，当员工更换团队或部门时，向他们授予适当的新访问权限（重要的是，删除他们不再需要的权限）就像更改他们的角色分配一样简单。

许多企业系统提供基于角色的访问控制。以下概述了 Microsoft Entra（以前称为 Azure）、Active Directory 和 SharePoint 如何使用 RBAC。

Microsoft Entra 中的 RBAC

Microsoft Entra 中基于角色的访问控制可帮助管理员管理对云资源的访问。例如，您可以使用 RBAC 来：

• 允许一组用户管理虚拟网络，另一组用户管理虚拟机。
• 使数据库管理员能够管理 SQL 数据库。
• 允许指定的用户组管理某些网站。
• 允许应用程序访问资源组中的所有资源。

Active Directory 中的 RBAC

在 Active Directory 中，安全组充当角色。每个组都被授予对某些资源的访问权限，并且该组的所有成员都继承这些权限。 AD 包括一组默认安全组，管理员可以创建其他组。

以下是一些内置安全组及其权限：

• 备份操作员 — 成员可以恢复和替换计算机上的文件，无论访问这些文件所需的权限如何。
• 远程桌面用户 — 成员可以远程连接到 RD 会话主机服务器。
• 域管理员 — 成员在特定 AD 域中拥有广泛的权限。例如，他们可以更新所有组的成员身份并控制对域控制器的访问。
• 企业管理员 — 成员可以进行林范围内的更改，例如添加子域。
• 架构管理员 — 架构管理员可以修改 Active Directory 架构。

SharePoint 中的 RBAC

SharePoint 还具有预定义的角色以及成员继承的权限。这些角色包括：

• 最终用户：成员可以使用列表项和文档库中的内容，但无法配置或管理网站。
• 高级用户：成员可以与某些网站组件进行交互，例如列表、网页、库等。
• 网站所有者：成员可以控制整个 SharePoint 网站，包括子网站的创建、设计和权限管理。
• 网站集管理员：成员可以控制网站集中的网站。
• SharePoint 场管理员：这些顶级管理员可以完全控制 SharePoint 场，例如维护、存储、Web 应用程序和网站集。

Exchange 中的 RBAC

Microsoft Exchange 也遵循 RBAC 模型。一些内置管理角色如下：

• 收件人管理 - 成员可以在 Exchange Server 组织内创建或更新 Exchange Server 收件人。
• 服务台 - 成员可以查看和更新地址、电话号码和显示名称等用户属性。
• 服务器管理 - 成员可以配置特定于服务器的功能，例如证书、客户端访问协议和虚拟目录。
• 组织管理 - 成员拥有对 Exchange Server 组织的顶级访问权限，这意味着他们可以执行 Exchange 对象的几乎所有任务。
• 卫生管理 - 成员可以在 Exchange 中配置反垃圾邮件和反恶意软件功能。

什么是基于属性的访问控制？

ABAC 根据用户的属性授予访问权限，而不是根据用户的角色或除了用户的角色之外。属性的示例包括：

• 用户属性：职称、资历级别、部门、职位角色
• 资源属性：文件类型、文件所有者、文件敏感级别
• 环境：网络、地理位置、日期、时间

它是这样工作的：

• 管理员定义策略来指定对资源执行操作所需的属性组合。
• 当用户请求访问资源时，ABAC 会检查该用户的属性。如果它们符合定义的策略，则授予访问权限；否则，该请求将被拒绝。

ABAC 示例

以下是 ABAC 政策的两个示例：

• 为了访问工资信息，用户必须是人力资源部门的成员。此外，访问请求必须在正常工作时间内进行，并且用户只能访问自己公司分支机构的数据。
• 为了访问销售线索和相关敏感数据，用户必须是销售代表并且位于美国地区。

ABAC 的好处

使用属性而不是角色可以实现更细粒度的访问控制方法。然而，ABAC 可能比 RBAC 更复杂。

Microsoft Entra 中的 ABAC

正如我们所看到的，Microsoft Entra 允许根据角色分配权限。但它还允许管理员为某些操作添加条件，这说明了 ABAC 如何被视为 RBAC 的扩展。例如，您可以添加一个条件：为了让用户读取某个对象，该用户必须具有给定的角色，并且该对象必须具有特定的元数据标记。

基于属性的访问控制与基于角色的访问控制：比较

下表显示了基于角色的访问控制 (RBAC) 和基于属性的访问控制 (ABAC) 的优缺点：

RBAC 的优点

• RBAC 非常适合中小型组织。
• 您可以轻松地对组织层次结构进行建模。例如，您可以自动授予经理其直接下属的所有权限。
• 实施RBAC所需的成本相对较低。

RBAC 的缺点

• 大型组织可能需要如此多的角色，以至于管理它们变得很困难。
• 定义大量角色的权限可能既耗时又复杂。
• 确保每个用户拥有他们所需的所有权限可能需要频繁创建新角色。

ABAC 的优点

• ABAC 可以更好地为大型组织工作。
• 要添加或删除权限，管理员只需更新用户的属性即可，这比定义新角色容易得多。

ABAC 的缺点

• RBAC 实施可能非常复杂且耗时。
• 由于 ABAC 的复杂性，从实施过程中的错误中恢复可能很困难。

RBAC 与 ABAC：选择哪一个？

选择 RBAC 和 ABAC 需要了解组织的结构、预算、规模和安全要求。在某些情况下，ABAC 是赢家，而在其他情况下，最好使用 RBAC。

在以下情况下选择 RBAC：

• 拥有小型或中型组织
• 不要指望大量新用户涌入
• 拥有明确定义的用户组
• 预算、资源或时间短缺

在以下情况下选择 ABAC：

• 拥有庞大的组织
• 预计您的用户群将显着扩大
• 有足够的预算和资源
• 需要高度可定制且灵活的访问控制策略

通过 Netwrix GroupID 进行访问控制

Netwrix GroupID 是一个遵循 RBAC 模型的强大身份和访问管理 (IAM) 解决方案。它包括以下预定义角色：

• 管理员 - 可以在身份存储上执行所有 Netwrix GroupID 功能
• 帮助台 - 可以代表其他用户更新目录信息、重置帐户密码和解锁帐户
• 用户 - 可以创建组、管理组以及管理自己的目录配置文件和密码

您可以创建其他角色并为其分配适当的权限。例如，您可以创建角色以使角色成员能够：

• 创建和管理组
• 管理用户个人资料
• 管理预定作业

Netwrix GroupID 中的策略

Netwrix GroupID 策略完善并加强了基于角色的访问。对于每个角色，您可以定义以下策略：

• 群组所有权强制执行政策 - 防止创建没有主要所有者的群组，并限制群组可以拥有的其他所有者的数量
• 组名称前缀政策 - 要求在组创建期间在组名称中使用前缀
• 新对象策略 - 将新对象的创建限制为目录中的特定组织单位 (OU)
• 搜索策略 - 将对象搜索限制到特定 OU
• 身份验证策略 - 需要使用特定身份验证方法（例如 SMS 或 Windows Hello）登录 Netwrix GroupID
• 密码策略 - 指定密码规则和验证检查
• 帮助台政策 - 对帮助台技术人员重置用户密码和解锁用户帐户时实施限制

结论

访问控制对于保护数据和 IT 系统至关重要。选择基于角色的访问控制与基于属性的访问控制需要仔细评估组织的结构、安全性和合规性要求以及增长预测。

Netwrix GroupID 通过提供适合所有组织（无论规模或部门）的适应性角色权限和策略，使访问管理更易于理解、实施和监督。

常见问题解答

RBAC 和 ABAC 有什么区别？

RBAC 根据用户的角色（例如他们的工作和部门）分配访问权限。 ABAC 根据用户的资历级别、数据的敏感级别以及访问请求的日期或时间等属性授予访问权限，从而实现更精细的控制。

ABAC 比 RBAC 更好吗？

在较高层面上，ABAC 和 RBAC 服务于相同的目标：帮助确保对数据和其他 IT 资源的访问受到适当限制。哪一种更好取决于组织的规模、结构以及安全性和合规性要求等因素。

一般来说，ABAC 被认为更加灵活和细粒度，使其适合具有复杂访问控制需求的大型组织。另一方面，RBAC 更简单，通常受到具有明确组和有限资源的中小型组织的青睐。

基于策略的访问控制 (PBAC) 和 ABAC 有什么区别？

PBAC 使用基于条件、规则或角色等标准的策略来控制访问。 ABAC 根据用户、资源和环境属性授予访问权限。

基于上下文的访问控制 (CBAC) 和 ABAC 有什么区别？

ABAC 根据用户、资源和环境属性授予访问权限。 CBAC 会考虑请求访问的更广泛的背景，例如会话的状态或交易的风险级别。