访问控制中PIP的典型流程和关键点思考

news2024/11/20 6:36:41

PIP的定位

企业ABAC中访问控制机制的部署实施有几个重要的功能“点”,用于检索和管理策略的服务节点,其中包含了用于处理策略上下文或工作流、以及检索和评估属性的一些逻辑组件。下图给出了这些功能点:策略执行点(PEP)、策略决策点(PDP)、策略信息点(PIP)和策略管理点(PAP)。这些组件处于同一环境中,相互配合以实现访问控制决策和策略执行。

策略决策点(PDP):通过评估适用的DP和MP来计算访问决策。PDP的主要功能之一是根据MP调节或消除DP间的冲突。

PEP执行PDP做出的策略决策:

策略执行点(PEP):以执行策略决策的方式响应主体对受保护客体的访问请求;访问控制决策由PDP生成。

PDP和PEP功能可以是分布式的或集中式的,并且可以在物理和逻辑上彼此分离。例如,企业可以建立一个集中控制的企业决策服务,该服务评估属性和策略,生成策略决策并传递给PEP。这种方式方便对主体属性和策略进行集中管理和控制。或者,企业内的本地组织可以利用集中的DP存储库,实现独立的PDP。ACM组件的设计和部署需要一个管理单元来协调ABAC的各组件功能。

要计算策略决策,PDP必须具有有关属性的信息,这些信息由PIP提供。本文件中的PIP定义为:

策略信息点(PIP):作为属性或策略评估所需数据的检索源,提供PDP做出决策所需的信息。

在执行这些策略决策之前,必须对它们进行彻底的测试和评估,以确保它们满足预期的需要,这些功能由PAP执行。PAP可定义为:

策略管理点(PAP):提供一个用户接口,用于创建、管理、测试和调试DP和MP,并将这些策略存储在适当的策略库中。

PIP的定位及关键点思考

  1. PIP应属于支撑平台的一个组件,不直接面向客户
  2. PIP能统一的处理各方面的数据,当数据源和PIP对接时,尽量减少数据源的改动,降低对数据源的要求,而把主要工作负荷都放到PIP里
  3. PIP的工作不是简单的收集存储数据源的属性,而应该具备数据清洗,关联,统计分析并产生新的属性的能力
  4. 数据源和PIP的分工边界:数据源需要上报只有其才可以拿到的固有属性,比如:账号,IP,设备码,运行的软件,打开的端口等,不建议让数据源上报复杂的统计分析类属性,比如:1小时登录的次数,是否运行了违规软件,登录过的地点等。PIP在接收数据源上报的基础属性以后,可以对属性进行加工,关联,并通过运算产生如上新的属性
  5. 未来PIP占用系统资源数量级会远超系统其他模块


 

典型流程

PIP系统处理流程等同于典型的ETL数据处理流程,先从各种数据源收集各种数据,再通过统一的数据处理流程,将多维度的数据统一过滤整合,最后统一存储,一个标准的流程架构(PIP)如下图:

  1. 其中消息中间件,数据处理,数据存储均可以分离部署,并均可采用分布式部署。
  2. 数据处理部分通常是根据不同的业务选用不同的处理方式,目前业界综合使用最多的是基于Flink的流式处理。目前基于文件的处理框架(比如hadoop+hbase)不太流行了,流式处理框架里主流的flink相对比storm具备更好的吞吐量(也就是性能更好),并且自身支持批处理及状态记录,这些优势导致其目前成为流式处理的主流框架,具体如下图(比较重要指标是:延迟,滑动窗口,吞吐量,状态,流批一体

数据存储方面,目前业界综合使用最多的是ES,或ES结合某个列式存储数据库比如Hbase,或文档数据库比如mangoDB。Es结合其他数据库的方式只用于海量数据的查询检索,如果数据量未到该量级(比如单次查询的数据量约小于1亿条记录)则无需这么做

PDP和PIP对接

PDP和PIP对接可以采用2种对接方案,如下图:

  1. HTTP主动通知结合HTTP主动查询,即PIP计算出最新的数据后主动通知PDP,或PDP需要用到某些属性时主动找PIP查询。该方式实时性较好,但会严重降低PDP乃至整个系统的性能,不推荐。
  2. 共享Redis结合共享数据库,PIP运行时会把数据在数据库和Redis里都存放一份,数据库和Redis均为异步更新,数据库更新周期远大于Redis。PDP启动后从数据库或Redis加载数据到自己内存,并周期性从Redis更新数据到内存,决策过程中只读内存。该方案优势在于性能较高,但PDP实时性会降低,推荐该方案。

总结

  1. 基于目前的资源分配情况及需要处理的数据量,暂时无需额外引入其他开源框架(比如flink或其他文档数据库),这些开源框架本身也要占用系统资源,在数据量并不大的情况下反而会导致资源占用不均衡(比如框架占用了4g内存,本身处理只占用2g内存)
  2. 该方案内所涉及功能组件已经在实际使用,经过了长期运行证明可以适应目前的业务,而从零开发性价比太低并且没有任何业务驱动。
  3. 该方案已经实现了数据的统一收集,过滤,分析统计,存储等一系列流程,并且可以实现灵活配置处理规则(业界大多数做法都是写死的)实现了和pdp的闭环对接,在数据量并不大的情况下无需引入新的流程。
  4. 未来如果数据量大到一定程度则可以在该架构上持续改造(比如把flink结合进来)

注意,这种改造的好处是可以将PDP和PIP分离,分不同的进程甚至部署到不同的服务器上,但在目前硬件资源有限的情况下没有实际意义,这么配置会带来2方面负面作用:

A,虽然PDP的资源占用大幅减少,但其一大半工作被PIP分担,PIP同样会占用硬件资源,启动2个服务肯定比单个服务占用更多的资源,同时增加了额外的数据交互开销(比如原来用户信息和设备信息等直接通过登录请求携带过来,但流程分离后需要在PIP里单独开启用户和设备数据同步流程)。

B,本来PDP和PIP在一个进程全部读写内存效率最高,分离后至少也要用Redis做数据同步,处理性能和实时性两者必有一个会严重下降。

综合评估,大数据处理是建立在大量硬件资源的前提上,采用硬件换取效率,在资源不够的情况下,整个系统还是交互越少效率越高。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1124313.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

什么是接口测试?三分钟带你全面认识接口测试、带你学会接口测试~

目录 1、接口是什么? 2、接口的类型 3、接口测试初识 3.1、什么是接口测试 3.2、原理 3.3、特点 3.4、什么是自动化接口测试 4、接口测试流程 5、传统风格接口与RESTful风格接口 6、接口文档 6.1、什么是接口文档 6.2、接口文档作用 6.3、展现形式 6.4…

【python VS vba(系列1)】 python和vba读写文件的方式比较 (建设ing)

目录 1 前言 : 为什么要做这个系列 2 用VBA 实现 遍历文件夹,读取文件内容,写入文件内容等 2.1 遍历文件夹的文件名 2.1.1 用VBA取得文件名等需要使用 dir mkdir 等类dos的命令 2.1.2 用VBA打开,写入,关闭文件: 2.1.3 看具体…

8个卓越的矢量图插画资源网站

在插画设计中,如何寻找能够自由缩放的矢量图插画素材,一直是我们设计的难点。 下面,为大家推荐8个矢量图插画素材网站,希望能够满足同学们的设计需求。 1:即时设计 即时设计是可云端编辑的专业级 UI 设计工具&#…

ssm+vue的汽车站车辆运营管理系统(有报告)。Javaee项目,ssm vue前后端分离项目。

演示视频: ssmvue的汽车站车辆运营管理系统(有报告)。Javaee项目,ssm vue前后端分离项目。 项目介绍: 采用M(model)V(view)C(controller)三层体系…

vben admin配置详解(Table, Form)

vben这个后台管理系统的框架,基于ant-design-vue组件库封装了很多好用的组件,我们在日常开发中用的最多的就是Table, Form组件了。下面就简单介绍一下。 监听菜单折叠: const { getCollapsed } useMenuSetting();const isCollapsed ref(false);watch…

揭秘 AI 开发“武功秘籍”,NVIDIA 发布首部 DPU 和 DOCA 编程入门书籍

随着人工智能的“iPhone 时刻”到来,每家企业都将采用生成式人工智能,每个行业也都将被人工智能改变,开发者也在积极拥抱这股浪潮。 据开发者社区 CSDN 统计,在其注册开发者中,689 万开发者阅读、撰写与研究 AI 技术&…

吃透Spring源码分析专题

想说的话 本人在互联网摸爬滚打至今(23年)6年了,平时有写博客的习惯,这个习惯是从大学的时候开始的,目前主要关注java领域相关的技术,python也有涉及,写Spring专题是因为Spring确实很重要,在目前这个开发模…

考完PMP认证还需要考NPDP认证吗?

这个问题要看你自己,是项目经理,还是会和产品经理打交道,还是本身是产品开发的职位,或者就是产品经理等。考完PMP认证再考NPDP认证是有好处的,项目思维教会我们往前走,而产品思维,可以让我们走的…

html web前端,点击发送验证码,按钮60秒倒计时

html web前端&#xff0c;点击发送验证码&#xff0c;按钮60秒倒计时 eaca39b57a49d39f6c9e2f49f2559e9a.jpg <!DOCTYPE html> <html><head><meta http-equiv"Content-Type" content"text/html; charsetutf-8" /><title><…

快速解决“msvcp110.dll丢失”问题,msvcp110.dll丢失修复分享

解决"msvcp110.dll丢失"问题的方法 在计算机使用过程中&#xff0c;我们可能会遇到各种问题。其中&#xff0c;“msvcp110.dll丢失”是一个常见的错误&#xff0c;通常出现在运行某些软件或游戏时。这个错误不仅会打断我们的工作或娱乐&#xff0c;而且可能对我们的…

Perforce发布《2023游戏开发与设计现状报告》,洞察游戏行业的改变与2023年最令人兴奋的行业动向

近期&#xff0c;Perforce发布了《2023游戏开发与设计现状报告》。此报告调查了来自全球各地的游戏开发专业人士&#xff0c;了解他们面临的主要开发挑战、使用的工具和流程&#xff0c;以及目前最让他们对这个行业感到兴奋的方面。 龙智作为Perforce授权合作伙伴&#xff0c;…

C++为什么不提倡使用单例模式?

C为什么不提倡使用单例模式&#xff1f; 我是不提倡C当中使用单例模式的&#xff0c;在很早以前写过一个答案提过关于单例的问题。 正好最近有个朋友刚翻译了C core guidelines&#xff0c;里面的I.3也提了单例模式的危害&#xff0c;直接用“避免单例”作为标题&#xff0c;今…

测吧(北京)科技有限公司项目总监王雪冬一行访问计算机学院探讨合作

3月15日&#xff0c;测吧&#xff08;北京&#xff09;科技有限公司&#xff08;以下简称测吧&#xff09;项目总监王雪冬来到计算机学院对校企合作、学生就业、学生竞赛等一系列工作进行了深入研讨&#xff0c;并向计算机学院颁发了优秀组织单位和优秀指导老师奖。会议由黄曼绮…

JCJC-基于剪贴板的碎片信息收集工具

给大家介绍一款基于剪贴板的碎片信息收集工具-JCJC。 JCJC 的主要功能是跟踪剪贴板内容的变动&#xff0c;自动把剪贴板的内存保存为 MarkDown 格式文件。 MarkDown 文件说明&#xff1a; MarkDown 文件存储在 JCJC 安装目录中的 jcjc\notes 目录下 &#xff0c;文件名称格式…

Elasticsearch的增删查改详细操作

目录标题 一、创建索引二、查看索引三、修改索引四、删除索引五、向索引增加数据 一、创建索引 单独创建索引 PUT /test1 # test1 为索引名称自定义{"settings":{ # 创建index 需要有效的xcontent字节及Json格式 否则创建不成功 "index":{"number_…

目标跟踪ZoomTrack: Target-aware Non-uniform Resizing for Efficient Visual Tracking

论文作者&#xff1a;Yutong Kou,Jin Gao,Bing Li,Gang Wang,Weiming Hu,Yizheng Wang,Liang Li 作者单位&#xff1a;CASIA; University of Chinese Academy of Sciences; ShanghaiTech University; Beijing Institute of Basic Medical Sciences; People AI, Inc 论文链接&…

解决Nginx代理MinIO出现Access Denied

通过nginx代理访问minio文件地址时出现了Access Denied的错误 我的访问地址: http://ab.ac.ad.cn:10001/group2/2023/10/23/3_20231023101203A001.jpg/ 访问错误情况如下: 解决如下,实测有用 我这里一开始nginx配置如下: server {listen 10001;server_name ab.…

麒麟信安受邀协办2023广电五舟行业交流大会,共建信创产业新生态

10月20日&#xff0c;广州广电五舟科技股份有限公司&#xff08;简称“广电五舟”&#xff09;主办的行业交流大会召开&#xff0c;大会围绕智能算力新趋势、共建新生态价值体系、算力发展与生态建设的关系、元宇宙应用展望与生态融合等话题展开深入探讨。麒麟信安作为沈阳站和…

类似东郊到家预约家政保洁小程序搭建

随着生活水平的提高&#xff0c;人们对健康养生的需求越来越重视&#xff0c;按摩作为一种传统的养生方式&#xff0c;备受关注。为了方便用户快速、方便地预约按摩服务&#xff0c;本文将介绍一款按摩预约小程序的开发。 首先&#xff0c;我们通过市场调研和分析发现&#xf…

Linux 爱好者线下沙龙:LLUG 2023·相聚成都 | 第四站

导读&#xff1a;10 月 29 日&#xff0c;Linux 爱好者沙龙将会在四川成都市高新区菁蓉汇&#xff0c;与中国开源年会&#xff08;COSCON&#xff09;同场举办&#xff01;以下为详细介绍。 社群里呼声很高的天府之国&#xff0c;它来了&#xff01; 经历过 6 月北京场、7 月…