零信任架构-可扩展存取控制标记语言(XACML)是用於授权的最佳存取控制策略语言

https://ithelp.ithome.com.tw/upload/images/20211108/20132160iDuuTedlmM.jpg
-示例 XACML 实现
基於风险和基於属性的存取控制是授权机制,而不是存取控制策略语言。SAML 是一种用於身份验证的语言,而不是用於授权的语言。XACML 是一种表达安全策略的通用语言,支持授权机制、基於属性的存取控制。
XACML 代表“可扩展存取控制标记语言”。该标准定义了一种声明性细粒度、基於属性的存取控制 策略语言、架构和处理模型,描述了如何根据策略中定义的规则评估存取请求。
资料来源:维基百科
https://ithelp.ithome.com.tw/upload/images/20211108/20132160fsToMGHzyT.jpg
-SAML 断言

零信任
https://ithelp.ithome.com.tw/upload/images/20211108/20132160PdxCNVhejx.jpg
-核心零信任逻辑组件(来源:NIST SP 800-207)
授权决策由零信任架构中的策略决策点 (PDP)的策略引擎做出。策略引擎使用的信任算法 (TA)使用多个输入源,根据包含主体、客体和环境属性的细粒度标准或分数做出授权决策。
系统必须确保主体是真实的并且请求是有效的。PDP/PEP 通过适当的判断来允许主体存取资源。这意味着零信任适用於两个基本领域:身份验证和授权。
对於这个独特的请求,主体身份的置信度是多少?
考虑到对主体身份的置信度,是否允许存取资源?
用於请求的设备是否具有正确的安全状态?
是否有其他因素需要考虑并改变置信水平(例如,时间、对象的位置、对象的安全态势)?
总体而言,企业需要为资源存取开发和维护基於风险的动态策略,并建立一个系统以确保这些策略针对单个资源存取请求正确且一致地执行。这意味着企业不应该依赖隐含的可信度,其中如果主体满足基本认证级别(例如,登录到资产),则假定所有後续资源请求同样有效。
来源:NIST SP 800-207

参考
. 安全断言标记语言
. 可扩展存取控制标记语言 (XACML)
. 基於风险的网络安全方法
. 风险自适应存取控制 (RAdAC)
. 基於风险的存取控制模型 – MDPI

资料来源: Wentz Wu QOTD-20210828
My Blog: https://choson.lifenet.com.tw/


<<:  Day 35 - Amazon SageMaker 简介

>>:  【2021法遵科技与电脑稽核专题竞赛】初赛即将开跑,欢迎师生踊跃报名!

DAY10 Kotlin基础 回圈

昨日用repeat绘制生日蛋糕解答: fun main() { val age = 24 val l...

Day17 - 铁人付外挂前置作业(二)- 开发环境

在自己的电脑中建立一个 WordPress 需要的材料有 PHP、Apache or Nginx 以...

【验证模型】3-7 「今晚,我想来点⋯⋯」动手做的餐点选择器进化!(上集)

实作餐点选择器,进化! 在 2-7 章节中,我们曾经实作了一个餐点选择器: function get...

110/02 - 只有 StartActivityForResult 可以用吗?

前一天讲到合约(Contracts)和启动器(Launcher)取代StartActivityFor...

[面试][前端]请说明你现在专案用到的前端框架

用工具完成任务 ≠ 了解工具。 随着时代演进,大部分的公司都采用框架来加速开发效率;自从有了框架,...