Was ist Attributbasierte Zugriffskontrolle (ABAC)?
Die attributbasierte Zugriffssteuerung (ABAC) ist ein anderer Ansatz für die Zugriffssteuerung, bei dem Zugriffsrechte durch die Verwendung von Richtlinien gewährt werden, die aus zusammenarbeitenden Attributen bestehen. ABAC verwendet Attribute als Bausteine, um Zugriffskontrollregeln und Zugriffsanforderungen zu definieren. Dies geschieht über eine strukturierte Sprache namens eXtensible Access Control Markup Language (XACML), die so einfach zu lesen oder zu schreiben ist wie eine natürliche Sprache.
In einem attributbasierten Zugriffssteuerungssystem werden alle Arten von Attributen wie Benutzerattribute und Ressourcenattribute verwendet, um den Zugriff zu bestimmen. Diese Attribute werden mit definierten statischen Werten oder sogar mit anderen Attributen verglichen, wodurch sie zu einer relationsbasierten Zugriffskontrolle werden. Attribute kommen in Schlüssel-Wert-Paaren wie ‚Rolle = Supervisor‘, die verwendet werden können, um den Zugriff auf ein bestimmtes Merkmal eines Systems zu beschränken. In diesem Fall können nur Benutzer mit der Bezeichnung Supervisor oder höher Zugang zu diesem Feature oder System erhalten.
In einem ABAC-System werden Regeln mit XACML geschrieben. Eine Regel könnte beispielsweise Folgendes enthalten:
‚Erlauben Sie den Managern, auf Finanzdaten zuzugreifen, vorausgesetzt sie stammen von der Finanzabteilung.‘
Dadurch können Benutzer mit den Attributen Role = Manager und Department = Finance auf Daten mit den Attributen Category = Financial zugreifen. Dies führt dazu, dass andere Arten von Benutzern nicht einmal auf den Anmeldebildschirm gelangen und bestimmte Arten von Angriffen wie Brute-Force- und Bibliotheksangriffe verhindern.