XACML als Entwicklungsschritt in einer bestehenden Anwendung

Question

Ich habe begonnen, etwas über XACML und externe Autorisierung zu recherchieren. Im Moment habe ich eine bestehende Anwendung, die ein RBAC-Modell verwendet. Die Implementierung weist jedoch viele Mängel auf (Rollen können nicht einfach definiert werden, Rollen sind zu grobkörnig).

Ist XACML eine gute Alternative? Existieren Anwendungen, die von RBAC-Ursprung zu XACML gewechselt sind? Gibt es irgendwelche Mängel?

Answer 1

Haftungsausschluss: Ich bin ein Entwickler für IBM und arbeite an unserem Produkt, das XACML ausgiebig verwendet (Tivoli Security Policy Manager). Ich bin etwas voreingenommen gegenüber XACML.

Ich denke, XACML ist eine großartige Alternative, vor allem weil es fast jedes Sicherheitsmodell unterstützt. Ich würde vorschlagen, Ihre vorhandene RBAC-Lösung in XACML zu modellieren (siehe the profile) und sie dann zu erweitern, um feinere Zugriffssteuerung zu berücksichtigen, wenn Ihre geschäftlichen Anforderungen dies erfordern.

Die Externalisierung Ihres Autorisierungscodes in die Richtlinie hat den zusätzlichen Vorteil, dass Sie das Sicherheitsmodell Ihrer Anwendung ändern können, ohne es neu zu kompilieren.

Gibt es exisitng Anwendungen, die auf XACML von einer RBAC Herkunft eingeschaltet haben?

Leider bin ich nicht bekannt, dass bestimmte Beispiele, zumindest diejenigen, die ich über öffentlich sprechen kann. Es gibt ein internes IBM-Projekt, das einen Monat für die Implementierung des Autorisierungsmoduls zugewiesen hat, aber es wurde in einer Woche erledigt, indem es mithilfe unserer XACML-Implementierung externalisiert wurde. Dies unterscheidet sich offensichtlich von Ihrem Beispiel, da es sich um ein Entwicklungsprojekt für "grüne Felder" handelte, hebt jedoch hervor, dass der von Ihnen erwogene allgemeine Ansatz von Vorteil ist.

Answer 2

Ich bin der Sicherheitsarchitekt bei WSO2 - der WSO2 Identity Server entwickelt, einen Open Source Identity und Entitlement Management Server mit XACML Unterstützung.

Ich glaube auch, dass XACML eine gute Alternative ist, um Autorisierungslogik aus dem Anwendungscode auszulagern. Wir haben kürzlich mit wenigen Kunden gearbeitet [einer von ihnen gehört zu den Fortune 100] - von unterschiedlichen proprietären Autorisierungsregeln zu XACML wechseln.

Answer 3

Ich stimme meinen Kollegen von IBM bzw. WS02 zu. Ich arbeite für Axiomatics. Wir konzentrieren uns ausschließlich auf die Autorisierung basierend auf XACML.

Wir haben Kunden, die von RBAC zu ABAC gewechselt sind. Einige entschieden sich, das RBAC-Profil für XACML als mittleren Schritt zu verwenden (http://docs.oasis-open.org/xacml/3.0/xacml-3.0-rbac-v1-spec-cd-03-en.html). Interessant ist, dass Sie Ihre vorhandene RBAC-Infrastruktur verwenden können, um ABAC zusätzlich zu erstellen.

Wir haben bis jetzt keine Mängel gesehen. Wenn überhaupt, sehen Kunden den ROI schnell mit XACML: Sie ist billiger und flexibler. Sie können mehrere Implementierungen verwenden (Sie könnten IBM, WS02 und Axiomatics miteinander kombinieren und es würde immer noch funktionieren), und es gibt starke Unterstützung seitens der Industrie.

Schauen Sie sich die XACML TC Seite für weitere Informationen: http://www.oasis-open.org/committees/xacml/