Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 29169:分布式访问管理与联邦系统安全
信息技术 — 访问控制 — 分布式访问管理
ISO/IEC 29169 解决了异构 IT 环境中分布式访问管理的关键挑战。随着组织越来越多地采用云服务、微服务架构和多域联合,跨组织边界的标准化访问管理方法变得至关重要。该标准提供了一个跨分布式系统的可互操作访问管理框架,在保持每个参与域的策略自主性的同时实现安全的资源共享。
在实施分布式访问管理框架之前,请进行域边界分析,识别所有安全信任域、它们当前的访问控制机制以及域间交互模式。该分析构成了策略映射策略的基础。
分布式访问管理架构
该标准定义了一个包含四个核心组件的参考架构:策略管理点(PAP)、策略决策点(PDP)、策略执行点(PEP)和策略信息点(PIP)。在分布式环境中,这些组件可能位于不同的管理域中,需要标准化的组件间通信协议。一个域中的 PDP 必须能够查询其他域中的 PIP,而 PEP 必须执行可能位于完全不同组织的 PDP 所做的决策。该架构建立在 XACML 和 SAML 标准的基础上,并增加了特定于联合的功能扩展。
| 组件 | 功能 | 分布挑战 |
|---|---|---|
| 策略管理点 | 策略创建和管理 | 跨域策略一致性和版本控制 |
| 策略决策点 | 访问评估和决策 | 域间信任建立 |
| 策略执行点 | 访问请求拦截 | 跨异构系统的协议桥接 |
| 策略信息点 | 属性和上下文数据提供 | 属性联合与隐私保护 |
实施标准化分布式访问管理架构的组织报告称,在将新的合作伙伴连接加入其联合生态系统时,域间访问集成时间平均减少 60%,从数周缩短到数天。
联合与信任管理
ISO/IEC 29169 引入了联邦访问控制的全面信任管理模型。该模型定义了从基本级(未经身份验证的匿名访问)到增强级(具有持续验证的多因素身份验证)的信任级别。每个信任级别对身份证明、凭证强度、会话管理和审计日志记录都有特定要求。参与域协商每个资源类别所需的最低信任级别,并将其内部保证机制映射到标准化的信任级别定义。
该标准还涉及属性联合这一关键问题:如何以保护隐私的方式跨域共享用户属性(角色、权限、组成员身份)。联合模型不是将所有域的用户目录复制,而是支持具有同意管理、最小披露原则和属性撤销功能的按需属性查询。这种方法使得域 A 中的用户可以访问域 B 中的资源,而域 B 无需维护单独的用户账户,同时确保域 A 控制哪些属性被披露。
没有适当的同意管理和最小披露控制的属性联合会产生严重的隐私风险。始终实施属性过滤,仅释放访问决策所需的最少信息,并获取用户对跨域属性共享的同意。
企业架构师的实践部署
实施 ISO/IEC 29169 的企业架构师应采用逐个域的迁移策略,而非尝试大爆炸式部署。该标准建议从两个具有已建立信任关系和明确访问模式的域之间的试点联合开始。在试点期间,组织应验证其 PDP 在联合查询负载下的性能,测试跨域边界的属性解析,并完善信任级别映射。后续阶段增加更多域,引入针对临时协作的动态信任协商,并实施持续访问评估和风险自适应策略等高级功能。
性能考虑在分布式访问管理中至关重要。与本地决策相比,跨域策略评估固有地引入了额外延迟。该标准提供了策略决策和属性数据的缓存策略、针对预期访问请求的预取技术以及将访问决策与合规记录解耦的异步审计日志记录指南。典型的生产部署目标是联合访问请求的端到端决策延迟低于 100 毫秒,对于重复访问模式,缓存策略可实现低于 20 毫秒的延迟。
切勿在没有跨所有域的全面审计日志记录的情况下部署分布式访问管理。在联合系统中,一个域中的安全事件可以传播到所有连接的域。跨域审计线索对于安全事件响应和入侵后的取证分析至关重要。
常见问题
问:ISO/IEC 29169 与 OAuth 2.0 和 OpenID Connect 有何关系?
答:29169 为分布式访问管理提供了更高层次的参考架构,而 OAuth 2.0 和 OIDC 是具体的协议实现。该标准可以使用这些协议来实现,但设计为协议无关的,可以容纳其他授权框架。
答:29169 为分布式访问管理提供了更高层次的参考架构,而 OAuth 2.0 和 OIDC 是具体的协议实现。该标准可以使用这些协议来实现,但设计为协议无关的,可以容纳其他授权框架。
问:29169 能否用于微服务架构中的 API 网关访问控制?
答:可以,PEP 组件自然地映射到 API 网关功能,而 PDP 可以作为集中式或分布式授权服务实现。该标准的属性联合模型对于需要在服务边界间传播用户上下文的微服务尤其有价值。
答:可以,PEP 组件自然地映射到 API 网关功能,而 PDP 可以作为集中式或分布式授权服务实现。该标准的属性联合模型对于需要在服务边界间传播用户上下文的微服务尤其有价值。
问:跨域共享医疗数据所需的最低信任级别是什么?
答:对于受保护的健康信息,该标准建议至少使用”增强级”信任级别,要求多因素身份验证、加密属性传输、会话绑定以及具有不可否认支持的全面审计日志记录。
答:对于受保护的健康信息,该标准建议至少使用”增强级”信任级别,要求多因素身份验证、加密属性传输、会话绑定以及具有不可否认支持的全面审计日志记录。
问:该标准如何处理域间的策略冲突?
答:该标准定义了一个具有可配置策略的冲突解决框架:拒绝优先(最严格的策略获胜)、允许优先(最宽松的策略)和域优先级(基于预先建立的层次结构)。策略选择应记录在联合协议中。
答:该标准定义了一个具有可配置策略的冲突解决框架:拒绝优先(最严格的策略获胜)、允许优先(最宽松的策略)和域优先级(基于预先建立的层次结构)。策略选择应记录在联合协议中。
