概述
基于角色的访问控制(RBAC)是一种管理访问权限的方法,根据用户在团队或更大部门中的角色来管理用户对系统、网络或资源的访问权限。
传统上,管理员需要为每个用户单独配置特定系统或网络访问权限,而 RBAC 允许 IT 管理员为具有特定工作职责的所有用户确定必要的访问权限级别,并为这些用户分配妥善配置了权限集的角色。这样,IT 团队能够轻松地一次性添加、修改和删除组中所有用户的权限,或者通过分配或删除角色来快速更改单个用户的访问权限级别。
基于角色的访问控制是如何工作的?
究其本质,每一种基于角色的访问控制系统都遵循相同的基本原则:
- 为每个用户分配一个或多个角色。
- 为各个用户角色分配权限。
- 用户成为某一角色的有效成员,获得访问权限。
在许多情形中,RBAC 模式会建立一个角色层次结构,其中的角色结构类似于组织的层次结构,可能包括管理员、最终用户和访客的角色,以及介于它们之间的任何专用群组。一些角色层级结构可能是继承层次结构,在这种层次结构中,更高级别的用户角色会被自动涵盖其下的角色及权限。而有些层次结构可能是随机的,被赋予高级角色的用户不一定默认继承下面的角色。
根据用例不同,使用 RBAC 的企业还可以通过要求具有不同角色的多个用户参与来启动特定的任务或操作,从而强制执行职责分离。通过实施这种实践加上定期审核角色权限,可以确保没有一个用户拥有超过其实际需求的权限,从而降低了风险。
基于角色的访问控制的优势
虽然企业可以从几种用户置备方法中进行挑选,但 RBAC 是最常见的方法之一。它提供了一种比访问控制列表(ACL)更加精细的身份和访问权限管理(IAM)方法,但仍然比基于属性的访问控制(ABAC)更加简单,更容易实施。虽然对特定用例来说,强制访问控制(MAC)或自由访问控制(DAC)等其他身份和访问权限管理方法可能效果更好,但对于大多数寻求易于管理的可扩展治理解决方案的企业而言,RBAC 是一个不错的选择。
提高运维效率,缩短停机时间
RBAC 可实现权限分配的一致性和可重复性,从而提高运维团队的效率。如果没有 RBAC,这些团队将需要逐一配置用户访问或对象权限。如果团队决定分配了某个角色的用户需要访问新的资源,他们只需要调整相关角色的权限,不必为每个人重新配置权限。此外,当团队成员承担新的工作职责时,可以通过更改其角色或分配新角色来轻松地更新他们的权限。
可扩展性
由于角色与组织结构相关联,因此不论团队的规模大小如何,这都是一种有效的身份和访问权限管理方法。如果企业正在经历快速成长或转型,这样就可以快速分配、删除或修改角色,从而将对日常运维的干扰降至最低。
加强安全防护和数据保护
RBAC 遵循最小权限原则(PoLP),即零信任安全性的核心原则,这意味着用户只被授予完成工作所需的权限。通过以这种方式限制访问,企业能够最大限度减少不必要的威胁,降低数据泄露的风险,并缩减相关的成本。
提高合规性
使用角色层次结构可以实现更好的可见性、监督和审计。管理员可以快速识别并更正用户权限中的错误,从而更好地遵守监管标准,并且更精确地管理对敏感信息和系统的访问。
借助红帽® Ansible® 自动化平台的自动化来实施零信任原则。
自动化如何为 RBAC 助力?
当企业缺乏 IT 自动化时,效率低下的手动流程会导致成本增加和安全风险上升,从而阻碍企业发展。自动化工具可以帮助团队实施 RBAC,尤其是当系统管理员希望将角色自动分配给具有特定属性的用户或组时。自动化 RBAC 策略可以降低人为错误的发生率,比如为用户分配不正确的角色或为角色配备不正确的权限等人为错误,同时还能保护敏感数据的安全。
此外,还需要一个强大的 RBAC 系统来管理自动化资源的访问,包括清单和特定项目。自动化团队可以使用 RBAC 建立一个高效、可扩展的角色层次结构,以及仔细配置的权限,确保在整个企业范围提高安全性、合规性和协调性。
红帽能为您做些什么?
作为企业开源软件解决方案的领先供应商,红帽可为您提供跨环境管理基于角色的访问控制所需的工具。
红帽® Ansible® 自动化平台可帮助您实现手动任务的自动化,并加快价值实现时间,同时协助您以现代企业所需的规模、复杂性和灵活性来实施自动化。自动化控制器是 Ansible 自动化平台的控制平面,允许管理员跨团队定义、运维和委派自动化任务。它提供了精细的内置 RBAC 功能,并可与企业身份验证系统集成,以确保自动化包括满足业务标准所需的安全性和合规性。
自动化控制器中的 RBAC 通过提供预定义的角色来授予对凭据、清单和作业模板等控制器对象的访问权限,有助于减少重复性的手动任务。您还可以建立控制器对象的集合(称为“组织”),并将用户分配为具有特定读写或执行权限的成员。
如果您希望在容器编排中提高身份和访问权限管理的安全性、合规性和运维效率,红帽 OpenShift® 可以帮助您管理用户对容器集、节点和整个集群的访问。红帽 OpenShift 是一个企业就绪的混合云应用平台,让您能够管理、部署和扩展容器化应用,同时利用强大的 Kubernetes 组件,包括 Kubernetes RBAC 等安全防护功能。
通过策略即代码实现治理、风险和合规流程的自动化
在基础架构即代码(IaC)策略基础上,企业组织开始使用这些实践在运营生命周期的每个阶段实现 IT 流程的自动化。正如 IaC 对基础架构的构建、配置和部署进行标准化一样,IT 团队可以采用“Ops as Code”和“Policy as Code”来对系统部署后的管理、维护和治理代码化。