XACML come passaggio evolutivo in un'applicazione esistente

Question

Ho iniziato a fare alcune ricerche su XACML e sull'autorizzazione esterna. In questo momento ho un'applicazione esistente che utilizza un modello RBAC. Tuttavia, l'implementazione presenta molte carenze (i ruoli non possono essere facilmente definiti, i ruoli sono troppo grossolani).

XACML è una buona alternativa da guardare? Esistono applicazioni che sono passate a XACML da un'origine RBAC? Ci sono dei difetti?

Answer 1

Disclaimer: Sono uno sviluppatore per IBM e lavoro sul nostro prodotto che utilizza ampiamente XACML (Tivoli Security Policy Manager). Sono un po 'prevenuto nei confronti di XACML.

Penso che XACML sia un'ottima alternativa, principalmente perché supporta quasi tutti i modelli di sicurezza. Ti suggerirei di modellare la tua soluzione RBAC esistente in XACML (vedi the profile), quindi estenderla per includere un controllo degli accessi più fine dove richiesto dai tuoi requisiti aziendali.

L'esternalizzazione del codice di autorizzazione in politica ha il vantaggio di essere in grado di modificare il modello di sicurezza dell'applicazione senza ricompilarlo.

Ci sono delle applicazioni exisitng che sono passati ad XACML da un'origine RBAC?

Purtroppo io non sono a conoscenza di esempi particolari, a quelli meno che io possa parlare pubblicamente. C'è un progetto IBM interno che ha assegnato un mese per implementare il loro modulo di autorizzazione, ma lo ha fatto in una settimana esternalizzandolo usando la nostra implementazione XACML. Questo è ovviamente diverso dal tuo esempio in quanto si trattava di un progetto di sviluppo "campi verdi", ma sottolinea che ci sono benefici nell'approccio generale che stai considerando.

Answer 2

Sono l'architetto della sicurezza di WSO2 - che sviluppa WSO2 Identity Server, un server di gestione Identity and Entitlement open source, con XACML suport.

Credo anche che XACML sia una buona alternativa per esternalizzare la logica di autorizzazione dal codice dell'applicazione. Di recente abbiamo lavorato con pochi clienti [uno di loro è tra i Fortune 100] - passando a XACML da diverse regole di autorizzazione proprietarie.

Answer 3

Sono d'accordo con le mie controparti di IBM e WS02 rispettivamente. Lavoro per Axiomatics. Ci concentriamo esclusivamente sull'autorizzazione basata su XACML.

Abbiamo clienti che passano da RBAC a ABAC. Alcuni hanno deciso di utilizzare il profilo RBAC per XACML come passo intermedio (http://docs.oasis-open.org/xacml/3.0/xacml-3.0-rbac-v1-spec-cd-03-en.html). La cosa interessante è che puoi usare la tua infrastruttura RBAC esistente per costruire ABAC in cima.

Non abbiamo ancora riscontrato alcun difetto. Se non altro, i clienti vedono rapidamente il ROI con XACML: è più economico e più flessibile. È possibile utilizzare più implementazioni (è possibile combinare IBM, WS02 e Axiomatics insieme e funzionerebbe ancora) e il settore è fortemente supportato.

controllare la pagina XACML TC per ulteriori informazioni: http://www.oasis-open.org/committees/xacml/