タスクベースのアクセス制御をRBACの一種と見なすことは正しいですか?
私はCISSP認定の勉強をしていて、私が視聴したビデオ講義の1つ(CBTナゲット)は本当に私を混乱させました。以下は、講義からの抜粋です。
「役割ベースのアクセス制御は、情報を分割して情報にアクセスする方法の基礎として、常に役割を使用するわけではありません。」
「さて、始めましょう。それを定義する最も簡単な方法は、あなたがそこに見られるかもしれない「RBACのタイプ」だと思います。役割ベースのアクセス制御についてですが、RBACとも呼ばれるタスクベースのアクセス制御と呼ばれるものもあります。つまり、グループまたはコンテナーを分割する方法は次のいずれかです。役割別またはタスク別になります。
タスクベースのアクセス制御をRBACの一種と見なすことは正しいですか?それは正しくないと思われ、他のリソースはそれを完全に別個のアクセス制御フレームワークとして説明しているようです(例 http://books.google.com/books?id=qf_h9ixAx70C&lpg=PA61&dq=RBAC%20TBAC&pg=PA61# v = onepage&q = RBAC%20TBAC&f = false )
いくつかの非正規(または「非標準」)アクセス制御モデル(既知のMAC、DAC、RBAC ...以外)があり、それらは単純に十分に定義されていないです。
同様に、モデルが理にかなっている限り、誰でも好きなように定義または再定義できます。
例えば。この投稿は、「タスクベースのアクセス制御」と呼ばれるモデルを初めて耳にしたときでしたが、頻繁に使用、採用、確認しています。奇妙なことに、あなたがリンクしたその本は2回目でした、別の意味で...
TBACと呼ばれるモデルを使用する多く/ほとんどの場合、TBACはロールに集約されます。
つまり、アクセスはtaskに基づいて許可されますが、アクセスチェックはこのtaskとそのタスクを含むrolesを比較し、usersこれらのrolesの一部です。
つまり、タスクは「サブロール」と見なすことができます。より簡単な場合は、ロールがロールコンテナになり、タスクが実際のロールになります...
例を参照。 MicrosoftのAzManツール。
明らかに、これはストレートRBACでの巨大な改善です。これは、いくつかの粒度とダイナミクスを操作できるためですが、それでも(拡張)の形式ですRBAC。
ところで、これも "階層RBAC"と呼ばれるのを見たことがあるので...