對IT管理員來說，用微軟 Active Directory（活動目錄）管理訪問控制存在一些問題。一是在使用者生命週期管理方面Active Directory容易滯後，例如員工已離職，但 AD 賬號未及時凍結，存在離職人員依舊可以訪問內網資源的情況，對企業而言存在安全隱患。二是 AD 運維需要專人專職，有技術門檻，運維代價高。

現如今更流行的是

基於屬性的訪問控制（ABAC）

，它最大的優勢在於可以透過將各種更豐富的屬性資訊進行組合形成訪問控制條件，從而靈活適應各種資源訪問場景。ABAC 本質上比傳統目錄訪問控制更適合當今充滿威脅的環境，在更需謹慎遵守零信任原則的時代背景下對企業而言更加有利。

什麼是基於屬性的訪問控制？

ABAC（Attribute-Based Access Control）是一種授予和管理使用者對IT資源的訪問許可權的方法，用來支援需要更多上下文感知的環境，而不是簡單的以使用者為中心的引數，比如他們被分配的角色。ABAC 常被雲提供商及身份和訪問管理（IAM）解決方案所使用，在我們周圍 ABAC 通常被用來整頓 IAM 的混亂秩序，其中包括：

在授予或拒絕訪問許可權時，透過在帳戶中考慮部門、位置、經理、日期時間等帳戶屬性以及其他有用的引數來保護應用程式、資料庫和檔案伺服器

保護 API，以免敏感資訊意外洩露

有效滿足合規性要求

透過基於每個使用者做出策略決策來動態控制網路防火牆

更傳統的訪問控制方法如

基於角色的訪問控制

（Role-Based Access Control，RBAC）只考慮員工是否在指定的系統中具有相應的訪問許可權。Active Directory（甚至 Azure Active Directory）保持著與傳統 RBAC 類似的姿態，其中使用者的角色（AD 中的安全組）決定了訪問許可權。

這與ABAC形成了鮮明的對比，ABAC 本質上是提供智慧決策的“防火牆”，以保護對IT資源的訪問。它應用“if/then”邏輯來確定使用者在給定的時間內所呈現的風險。例如，員工在度假期間，利用公共 Wi-Fi 臨時訪問某一個敏感應用時，會被禁止訪問，因為他所處在的 IP 被認為是不夠安全的。

使用 ABAC 的方式

提高了 IT 效率，並提供了更主動的安全控制

。

寧盾如何將 ABAC 應用於訪問控制

寧盾一體化安全認證平臺

採用 ABAC 的訪問控制模型，並充分利用了 ABAC 的優勢，將其應用於群組的建立和維護。這是很有必要的，因為寧盾可以管理對各種平臺上許多不同型別的端點的訪問。ABAC 在授予使用者訪問服務許可權之前會檢查使用者的屬性，寧盾一體化安全認證平臺會根據使用者的身份狀態自動授予其對應的許可權。具體表現為：平臺會依據上下文訊息實時檢測使用者當前的屬性狀態，來動態計算許可權。例如，當組成員被轉移到不同的部門或成為主管時，平臺可以基於 ABAC 屬性實時變化。

寧盾

一體化安全認證平臺

能夠基於各種屬性來定義訪問控制條件，如使用者組、使用者角色、登入型別、終端型別、終端 IP、MAC 列表集等屬性，來幫助管理員管理被寧盾納管的資源（例如應用、服務、伺服器等）的訪問許可權，並且可以配置多屬性複合條件，例如同時既符合終端 IP 條件，又必須符合登入型別才能授予訪問許可權。總之可以基於任意數量的自定義屬性在生產環境中進行實時更新，具體取決於您管理訪問許可權的應用程式。

寧盾

一體化安全認證平臺

透過“作用域”（scope）這一方式，預置了應用程式的可訪問範圍。簡單理解，也就是哪些組/角色的使用者可訪問該應用。當用戶因為崗位調動，角色/組織發生變動時，作用域會自動同步，不用管理員額外做配置。

ABAC的使用場景

條件訪問策略使用裝置、網路甚至地理位置等引數來保護對IT資源的訪問。ABAC 可以實現

更精細的訪問控制

，匹配複雜的業務場景。在企業生產、辦公中常見的幾個場景如下：

1、

基於終端IP

當員工在公司內網訪問 OA 辦公系統時，不需要動態密碼認證即可成功訪問 OA 系統。但當員工在外出差辦公時，訪問 OA 系統則需要動態密碼認證。這是

一個

基於員工的終端 IP 屬性進行策略下發的場景。

2、

基於使用者源

內部員工訪問公司核心交換機，認證通過後具備讀寫許可權（write）；外包人員訪問公司核心交換機，認證通過後具備只讀許可權（read）。

3、

基於使用者角色+終端合規性

研發人員使用合規終端（運行了防毒軟體、桌管軟體的）接入公司網路，可訪問生產網段；研發人員使用非合規終端接入公司網路，僅可訪問辦公網段。

變化中的新趨勢、新需求

AD 被用來解決管理內網使用者和加域終端問題已有二十多年。過去，AD 適用於集中化管理的組織結構，但當企業規模日趨壯大，多層級、縱深結構增加了溝通成本與資訊流通速度，缺乏靈活性，不利於企業業務敏捷性的提升和企業價值的快速變現。隨著網際網路技術的飛速發展，組織建設向扁平化趨勢轉變，尤其是中小型企業。扁平化組織靈活、快捷、高效，AD 已無法適應這種趨勢。繼續使用 AD 的企業，IT管理員成為安全性和過度配置之間的防線，且必須主動審計群組和使用者生命週期。

即便微軟已經應用了 ABAC 的訪問控制模型，但是 AD 的影響已經根深蒂固，微軟 IAM 方案嚴重依賴於過時的集中化身份管理概念，並不適應於現代化的 IAM 的需求，也不是為保護遠端工作的零信任安全模型設計的。

能夠在任何地方開展工作的持續挑戰決定了更好的方法，如 ABAC。現在是中小型企業應該往使用 ABAC、條件訪問和能夠管理對所有 IT 資源安全訪問的方法的雲目錄平臺進行遷移的時候了。

寧盾採用零信任安全理念，基於 ABAC 的動態訪問控制，更適合企業上雲後的身份管理需求。