使用ONTAP进行基于属性的访问控制
您可以使用ONTAP实施具有属性和基于属性的访问控制(ABAC)的增强RBAC。ONTAP提供了多种客户可用于实现文件级ABAC的方法、包括使用NFS和SMB/CCIFS的标记NFS 4.2和XATTRS。
基于属性的访问控制(ABAC)是一种管理访问权限的复杂方法、该方法会考虑用户属性、资源属性和环境条件。国家标准和技术研究所(NIST)为ABAC制定了一个标准、为安全一致地实施该标准提供了一个框架。
从NFS.12.1开始、您可以ONTAP使用ONTAP 9 4.2安全标签和扩展属性(XATTRS)配置NFSv4.2、以便将其与基于角色的访问控制(Role-Based Access Control、RBAC)和基于属性的访问控制(ABAC)身份集成。通过这种集成、ONTAP可以访问归类为符合NIST ABAC标准的数据管理解决方案的控制软件、从而提供一种强大而高级的方法来管理复杂环境中的访问权限、包括策略实施点(PEP)、策略决策点(PDP)以及考虑与用户、资源和环境相关属性的策略。
NetApp ONTAP与扩展属性(XATTRS)和基于属性的访问控制(ABAC)软件的集成符合NIST特刊800-162中规定的准则、确保符合ABAC实施的NIST标准。通过使用NFS 4.2安全标签和XATTRS、可以将用户定义的属性与文件关联起来、从而满足NIST ABAC标准在做出访问控制决策时考虑资源属性的要求。ABAC软件的PEP和PDP符合NIST ABAC标准对访问控制流程中这些组件的要求。定义考虑多个属性和条件的复杂策略的能力符合NIST ABAC标准对基于策略的访问控制的要求。
-
请求注释(RFC)
-
RFC 2203:《RPCSEC_GSS协议规范》
-
RFC 3530:《网络文件系统(Network File System、NFS)版本4协议》
-