适用于NoSQL数据库的ABAC

Question

如果我需要使用ABAC模型访问数据库，我知道有一些可能性(例如，如果数据库是Oracle，可以使用Oracle VPD)。尽管如此，我发现的所有解决方案都只适用于关系数据库。有没有可能用NoSQL数据库实现ABAC？

Answer 1

是的有。我工作的Axiomatics提供了一个可用于各种系统的ABAC解决方案。有一个将ABAC应用于关系数据库的专用解决方案，但除此之外，还有一个通用的基于API的解决方案，您可以使用它来保护更广泛的系统。

当您想要在NoSQL系统(或任何包含大量数据的系统)上实现ABAC时，您有两个选择：

• 将授权配置调配到目标系统。在这种情况下，您可以利用目标的能力来定义授权。它是供应和治理系统(例如，Sailpoint)所采用的方法，也是Axiomatics通过其策略服务器和其反向查询API
• 生成过滤器表达式的方法，这些过滤器表达式在查询进入NoSQL系统之前在运行时应用。这与Oracle VDP或ADAF MD对关系数据库采用的方法相同。在这种情况下，有一个策略执行点(PEP -标准ABAC体系结构的一部分)的概念。同样，Axiomatics为您提供SDK，以便您可以将自己与您自己的系统集成，并生成您感兴趣的过滤器(无论是NoSQL还是其他什么)。

根据您正在处理的系统，这可能是一项容易或艰巨的任务。为LDAP做过滤是小菜一碟，但为SQL做这件事要难得多(这就是为什么我们提供SQL OOTB)。

我希望这能帮到你,

大卫。